News AMD bestätigt Lücken Ryzenfall & Co. und kündigt Updates an

[nazgul77]

Sehr erhellender und sachlicher Bericht um das ganze Thema, und auch um CTS

https://www.youtube.com/watch?v=GNPcxXZ2ki8

 

[Pinnacle Ridge]

Kann da der Patch schon enthalten sein? Version 3806 2018/03/27 7.95 MBytes PRIME B350-PLUS BIOS 3806 Improve system performance https://www.asus.com/Motherboards/PRIME-B350-PLUS/HelpDesk_BIOS/

 

[SPINA]

Wenn ein Angreifer Administratorrechte hat bedeutet das nicht das er eh alles machen kann?

Der PSP lässt sich in den aufgezeigten Fällen manipulieren, obwohl man die Root-Rechte nur unter Windows besitzt. Das darf nicht sein, weil das Trusted/Secure OS hiervon unabhängige Zugriffsbeschränkungen kennt, welche hier aufgrund des Fehlers in der Firmware (in den Referenzbibliotheken von ARM noch nicht enthalten) umgangen werden. Allerdings ist das wie angekündigt bald Geschichte, weil Updates bereits in Arbeit sind. Es sind natürlich schwerwiegende Fehler, aber sie wurden künstlich aufgebauscht. Im Regelfall wären sie ohne viel Tamtam geschlossen worden.

 

[Complicated]

Nicht nur Windows. Einige der Lücken sind nur nutzbar wenn man das Recht hat ein BIOS zu flashen und direkten physischen Zugriff hat um dies auch zu tun. Ich kenne kein System, welches mit diesen Rechten nicht dauerhaft kompromittierbar wäre, unabhängig davon wie der PSP konfiguriert ist oder ob überhaupt ein PSP vorhanden wäre.

Vor allem bleiben unter diesen Umständen ja alle PCs weiter angreifbar für Hacker, wenn sie Adminrechte und Zugang zu dem Rechner haben um ein BIOS zu flashen, selbst nachdem alle PSP Lücken geschloßen werden, der PSP mit einem Lötkolben raus genommen wird oder selbst wenn eine andere CPU völlig ohne PSP verbaut wird.

 

[cyrusNGC_224]

Das stimmt, weswegen das Trara darum so künstlich wie nur möglich aufgezogen wurde.

 

[TAL9000]

ComputerBase: „Ryzenfall“: AMDs Patches nach nur vier Wochen fast einsatzbereit