Sicherheitslücke Spectre V2: Auch AMD sieht multiplen Klagen in den USA entgegen

AMDs bis heute diffuse Aussagen zur Betroffenheit in Bezug auf die Sicherheitslücke Spectre haben auch diesem Konzern multiple Klagen eingebracht. Dabei wird insbesondere moniert, dass AMD erst behauptet hatte, quasi gar nicht betroffen zu sein, später aber zurückgerudert ist und ebenfalls Updates in Aussicht stellen musste.

AMDs Aussagen der ersten Tage im Überblick

AMD wurde wie Intel und ARM bereits am 1. Juni 2017 über Spectre und Meltdown informiert. Das Vorgehen im Anschluss war bei allen Firmen identisch: Hinter verschlossenen Türen wurde erste Vorkehrungen getroffen, die Probleme zu analysieren und in den Griff zu bekommen, während das Tagesgeschäft ohne Änderungen bis zum 2./3. Januar weiterlief. Erst dann bestätigten nach Medienberichten wie dem von ComputerBase die Unternehmen eine Woche früher als geplant, von den Problemen gewusst zu haben und kurzfristig Lösungen anbieten zu wollen. Verständlich und für den betroffenen Anwender greifbar waren die ersten Verlautbarungen aber alle nicht.

AMD betonte in der ersten Stellungnahme am 3. Januar 2018, quasi nicht von den Problemen betroffen zu sein. Dabei bezog sich das Unternehmen primär auf Meltdown, denn diese Lücke betrifft den Hersteller in der Tat überhaupt nicht. In Bezug auf die 2. Variante von Spectre sprach AMD hingegen von einem „Near-Zero Risk“. Konkrete Aussagen zu geplanten Gegenmaßnahmen gab es keine. Am 11. Januar gab der Konzern in einer zweiten Stellungnahme dann bekannt, wie Intel an neuem Microcode zu arbeiten und auf Softwareanpassungen angewiesen zu sein, damit die Spectre-V2-Lücke nicht ausgenutzt werden kann. Der neue Microcode sollte allerdings nur optional sein, bis heute gibt es ihn für Endkunden nicht.

Auch AMD braucht Update, sie sind aber „optional“

Ende Januar veröffentlichte AMD dann ein umfangreiches Whitepaper mit Software-Lösungsansätzen, mit denen die Sicherheitslücke geschlossen werden kann. Darunter auch die aktuell von Windows umgesetzte Variante („V2-4“) mit dem Einsatz von drei neuen CPU-Befehlen sowie die von Google präsentierte Retpoline-Technik („V2-1“), deren Implementierung im Linux-Kernel aktuell vorangetrieben wird. Aussage: Bleibt Microsoft bei der aktuell umgesetzten Lösung, braucht auch AMD den neuen Microcode, um CPUs mit den neuen CPU-Befehlen auszustatten und das „Near-Zero Risk“ abzuwenden – welche CPUs das ermöglichen, sagte AMD aber nicht. Das Bild bleibt diffus.

Die Kläger sehen sich von AMD vor diesem Hintergrund unter anderem getäuscht, monieren eventuell noch ausstehende Leistungseinbußen und kritisieren das Geschäft, welches weiter lief wie gehabt, obwohl von den Problemen längst gewusst wurde. Vier Klagen, die unter anderem bei The Register aufgeführt sind, wollen entsprechende Entschädigungen einfordern. Eine große Anwaltskanzlei hat zudem eine Webseite für eine Sammelklage online geschaltet, in der sich Kläger, die nach AMDs Ankündigung von Updates gegen Spectre am 11. Januar vom Kursverlust betroffen waren, anschließen können.

Wie viele Klagen es sind, ist nicht bekannt

Wie viele Klagen es bisher insgesamt gegen AMD sind, ist nicht bekannt – bei Intel sind es mindestens 32 angestrebte Gerichtsverfahren. Im letzten Bericht an die SEC gab AMD bereits zu verstehen, dass es Klagen gegen den Konzern gibt. Ins Detail gingen die Ausführen aber nicht.

AMD is also subject to claims related to the recently disclosed side-channel exploits, such as “Spectre” and “Meltdown”, and may face claims or litigation for future vulnerabilities.