News Updates verfügbar oder geplant: Unzählige Sicherheitslücken in AMD-CPUs und Intel-Produkten

[IsaacClarke]

Zuerst kommt bei "Unzählige Sicherheitslücken" leichte Panik auf, einerseits reißerisch weil die meisten Lücken relativ "Uralt" sind und bereits beseitigt wurden, andererseits aber auch irgendwie gut, denn dies könnte den ein oder anderen hier zu einem BIOS-Update bewegen, egal ob AMD oder Intel.

Ich habe ein AM5 und AM4 System, beide jeweils mit den aktuellen AGESA Versionen, 1.1.0.2b bei AM5 und 1.2.0.B bei AM4, Panik schieben muss ich also nicht, nur aufmerksam sein in den nächsten Wochen bezüglich neuer Versionen.

Zum Glück ist es heutzutage kein Hexenwerk mehr neue BIOS-Versionen zu installieren, sie gehen schnell und einfach von der Hand, die Hersteller berücksichtigen sogar immer mehr extern gespeicherte Profile bei neuen Versionen, sogar über mehrere Versionen hinweg, ist zwar nicht immer perfekt aber das meiste wird korrekt angewendet.

 

[ChrisMK72]

Und da dort außer mir und meiner Familie niemand dran sitzt. Ist es doch eigentlich total Banane oder habe ich hier einen Denkfehler?

Kein Denkfehler, was diese Sicherheitslücken angeht.
"Die Hürden sind auch in diesem Fall oft hoch, da lokaler, direkter Zugriff auf das System möglich sein muss"

"Sicher" ist natürlich immer relativ.
Als privat 08/15 Normalo is man natürlich nicht so ein interessantes Ziel.
Wichtiger wird's, falls tatsächlich was zu holen ist, welcher Art auch immer(Geld, z.B. durch Erpressung, mit Lahmlegen des Systems und/oder Informationen). Gerade Firmen und Einrichtungen müssen natürlich min. 3x mehr über Sicherheit nachdenken, als der einfache Zocker z.B.

Ich finde es hier immer spannend, bei den Profis mitzulesen, welche beruflich damit zu tun haben.

Bei mir wäre jetzt z.B. "nur" ein Gaming Rechner platt, der eh langsam mal komplett erneuert werden müsste. Klar ... paar Bilder sollte ich vielleicht mal wieder sichern, damit ich sie mir dort, wo sie sicher sind, nie wieder ansehe. Aber sonst ... !? Unwichtig.

Wenn (größere?) Firmen, wo jede Stunde Arbeit zählt, mal eben "lahmgelegt" werden, is das natürlich ne ganz andere Hausnummer. Und für Leute, die dort für Sicherheit verantwortlich (IT-Sicherheit) sind, is das alles schon relevant .... denk' ich ...

 

[Draco Nobilis]

Also entweder ich kann nicht lesen oder es steht wirklich genau gar nicht was das an Performance kostet.
Ohne diese Information mache ich genau gar nichts an meinem Privatsystem.

Selbst betrieblich sollte das geklärt sein, gerade bei Intel gab es in Vergangenheit einfach Updates mit -50% Leistung. Da muss man zum Dank für Intels Lücken dann einfach noch mehr Intel hardware kaufen xD

 

[SP-937-215]

Privat ... ja, ansonsten stellen sich mir bei derartigen Sätzen die Nackenhaare auf.

Hab ja auch nichts anderes geschrieben...

 

[Geringverdiener]

Einfach die nächste Zeit beim Mainboardhersteller nachschauen ob es dort Updates erscheinen, dann ist die Sache gegessen.

 

[Caramon2]

Einige der Patches sind jedoch von letzter Woche oder aus dem späten Januar 2024, also vermutlich bei den meisten BIOS-Varianten noch nicht eingepflegt worden. Hier wird in Zukunft also ein weiteres Update anstehen, was sich je nach Mainboardhersteller und Modell aber auch Wochen und Monaten ziehen kann.

Mainboardhersteller?

Wo wir hingehen, brauchen wir keine Mainboardhersteller (z. B.):

https://archive.artixlinux.org/packages/a/amd-ucode/

 

[MGFirewater]

Also entweder ich kann nicht lesen oder es steht wirklich genau gar nicht was das an Performance kostet.
Ohne diese Information mache ich genau gar nichts an meinem Privatsystem.

Selbst betrieblich sollte das geklärt sein, gerade bei Intel gab es in Vergangenheit einfach Updates mit -50% Leistung. Da muss man zum Dank für Intels Lücken dann einfach noch mehr Intel hardware kaufen xD

machs wie ich teste es in den benchmarks deiner wahl und wenn das ergebnis dir nicht passt, machst du ein downgrade! PS: ich habe seit november 2020 nie ein downgrade (aufgrund schlechterer performance) gemacht. nur agesa 1.2.0.5 hatte ich übersprungen aufgrund der pbo deaktivierung.

 

[Grestorn]

Hier. Und du kannst nachlesen warum ich Intel vor Jahren "gehatet" habe: Die haben die Lücke gekannt und sich 6 Monate darauf vorbereitet indem sie ihre Marketing Abteilung arbeiten ließen um die Kacke kleinzureden. BIOS Updates? Gab es kaum, v.a. nicht bei Bekanntwerden und gar nicht für ältere Systeme. Und es hat Leistung gekostet.

Hm. Mein Gedächtnis meint, dass AMD seinerzeit genauso wie Intel betroffen war (und in den Folgejahren auch immer weitere Side-Channel Attacken auf beide Plattformen erfolgreich waren).

Und keiner von beiden hat sich damals irgendwie besonders hervorgetan beim Umgang mit dem Problem. AMD hat ja lange behauptet gar nicht betroffen zu sein - was sich als glatte Lüge herausgestellt hat.

Ich weiß nicht, wieso Du AMDs Verhalten hier irgendwie schön redest.

Obwohl. Ich weiß es natürlich schon. Immer das gleiche halt.

 

[Amiga500]

Die A9 ist ja die Uralte Version vom 23.03.22. Die neuen Versionen bringen dir schon Vorteile. Ich habe bis uaf die letzte Version alle Upgrades gemacht. Ich würde auch das aktuelle Bios aufspielen, wenn ich sicher wäre, dass mein Windows danach noch funktioniert.

Und woher soll ich sicher sein ob mein Windows danach noch funktioniert?

 

[DerNiemand]

ich deaktiviere die Patches, die mehr als 2 % Leistung kosten sofort wieder. Für den unwahrscheinlichen Fall, dass jemand in mein Netzwerk kommt und ausgerechnet diese Lücke ausnutzen kann, gehe ich doch gerne das Risiko ein, wenn ich dadurch die Leistung bekomme, für die ich bezahlt habe.

 

[Boimler]

Bin verwirrt: Sind das nun aktuelle Lücken oder einfach eine Sammlung diverser Lücken der letzten Zeit? Laut den letzten BIOS-Updates ist mein System auf dem neuesten Stand was die genannten AGESA-Versionen angeht.

 

[mibbio]

Und keiner von beiden hat sich damals irgendwie besonders hervorgetan beim Umgang mit dem Problem. AMD hat ja lange behauptet gar nicht betroffen zu sein - was sich als glatte Lüge herausgestellt hat.

AMD hat nie behauptet, dass sie gar nicht von den damaligen Lücken betroffen wären. Wenn ich mich recht erinnere, wurde lediglich gesagt, dass nur ein (kleiner) Teil der Sicherheitslücken auch CPUs von AMD betrifft. Und das hat doch auch gestimmt, denn während Intel von allen Spectre- und Meltdown Varianten betroffen war, galt das bei AMD CPUs nur für Spectre. Von Meltdown war AMD gar nicht betroffen.

Was man evtl. ankreiden kann, dass sie nach Bekanntwerden von Spectre erst nach etwa einem halben Jahr bestätigt haben, auch davon betroffen zu sein.

 

[Debian User]

Hm. Mein Gedächtnis meint, dass AMD seinerzeit genauso wie Intel betroffen war (und in den Folgejahren auch immer weitere Side-Channel Attacken auf beide Plattformen erfolgreich waren).

Und keiner von beiden hat sich damals irgendwie besonders hervorgetan beim Umgang mit dem Problem. AMD hat ja lange behauptet gar nicht betroffen zu sein - was sich als glatte Lüge herausgestellt hat.

Ich weiß nicht, wieso Du AMDs Verhalten hier irgendwie schön redest.

Obwohl. Ich weiß es natürlich schon. Immer das gleiche halt.

Da teuscht dich dein Gedächtnis. AMD ist nicht von Meltdown betroffen. AMD lügt also nicht, sondern du.

 

[Firefly2023]

Und woher soll ich sicher sein ob mein Windows danach noch funktioniert?

Gar nicht. Aber du hattest ja 2 Jahre Zeit das zu tun. Die Version die du hast ist die, mit der das Board ausgeliefert wurde.

 

[Jann1k]

Mich hat auch interessiert, ob die Patches Performance kosten und habe vorher und nachher Cinebench laufen lassen (Asus B550M-Plus mit AMD Ryzen 5 5600X).
Allerdings habe ich von einer sehr alten BIOS-Version 2803 vom 29.04.2022 auf 3405 vom 08.01.2024 upgedated, da sind dann insgesamt noch mehr Sicherheitslücken gefixt worden, als nur die in diesem Artikel erwähnten. Es gab aber angeblich auch Performance-Verbesserungen ...
Cinebench 2024.1.0
BIOS 2803 / 3405 1. Messung / 3405 2. Messung:
GPU 13261 / 13081 / 13075
CPU (MT) 580 / 584 / 599
CPU (ST) 95 / 92 / 92

 

[Amiga500]

Gar nicht. Aber du hattest ja 2 Jahre Zeit das zu tun. Die Version die du hast ist die, mit der das Board ausgeliefert wurde.

Nein die Version mit der mein Board ausgeliefert wurde war älter ;-) Mir ist halt noch immer nicht klar ob ich als Privatnutzer nun updaten soll oder nicht. Mein System läuft sehr stabil gerad

 

[h3@d1355_h0r53]

Hm. Mein Gedächtnis meint, dass AMD seinerzeit genauso wie Intel betroffen war (und in den Folgejahren auch immer weitere Side-Channel Attacken auf beide Plattformen erfolgreich waren).

Und keiner von beiden hat sich damals irgendwie besonders hervorgetan beim Umgang mit dem Problem. AMD hat ja lange behauptet gar nicht betroffen zu sein - was sich als glatte Lüge herausgestellt hat.

Ich weiß nicht, wieso Du AMDs Verhalten hier irgendwie schön redest.

Obwohl. Ich weiß es natürlich schon. Immer das gleiche halt.

Ich habe gar nichts schöngeredet sondern du interpretierst da was rein. Aktuell ist AMD da klar vorbildlich was das Patchen angeht. Zu AMD früher habe ich gar nichts geschrieben. Ich habe kritisiert, das Intel bei schwerwiegenden Lücken 6 Monate Marketing vorbereitet hat. Das hat AMD damals nicht gemacht.

 

[TempeltonPeck]

Wieso kommt so plötzlich eine so große Anzahl an Sicherheitslücken zum Vorschein?
Gibt es eine neue schnelle Methode Sicherheitslücken zu entdecken oder wurden die nur alle lange in einer Schublade gesammelt bis sie nun veröffentlicht wurden?

An Sicherheitslücken bei IT-Produkten (CPU,SOC, Software etc) wird aktiv geforscht um sicherer Produkte entwickeln zu können. Und diese Forschung hat immer mehr an Bedeutung gewonnen. Ebenso wie die Kriminelle Energie diese Lücken aus zu nutzen. Es sei auch gesagt das es nie absolute Sicerheit geben kann und Sicherheitslücken nicht zwangsweise auf ein schlechtes Produkt hinweisen. Bei solchen Angriffen werden Eigenschaften des Produktes ausgenutzt die meisten gar nichts mit Sicherheits zu tun haben und als Entwickler gar nicht auf die Idee gekommen wäre das dies eine Lücke sein könnte und im nachhinein ist man immer schlauer.

 

[Amiga500]

So, hab jetzt mal für mein Msi B550 Tomahawk die A.F0 Version installiert. Damit dürften dann alle bekannten Sicherheitslücken gestopft sein !?

 

[SirSilent]

Ich werde bestimmt kein Bios updaten ohne zu wissen, ob es Performance kostet.

Die meisten Menschen sind bereit Freiheit für Sicherheit opfern. Dann sollte es sich doch mit Performance für Sicherheit auch so verhalten.