Notiz UEFI/AGESA-Patch nötig: Sicherheitslücke in AMD-APUs von 2016 bis 2019

PS828

Captain
Dabei seit
Juni 2019
Beiträge
3.949
@tstorm Die Fragen kannst du dir selbst beantworten. Seit wann wird Sicherheitskritische Forschung dahingehend betreiben? Und wie groß sind die Einschnitte entsprechender Probleme?

Das Lücken früher oder später gefunden werden als andere sagt nichts über die Intensität aus mit der danach gesucht wurde. Gravierende Fehler in der Sprungvorhersage oder SMT/ HT übersieht man nicht einfach jahrelang. Erst wenn danach gesucht wird kann man etwas finden. Hinzu kommt noch das wir nicht wissen wie lange bestimmte Lücken intern schon bekannt waren.

Fragen über Fragen, der Rest ist pure Spekulation und führt zu nichts.
 

Rockstar85

Commodore
Dabei seit
Sep. 2004
Beiträge
4.239
Intel hat 10x mehr Chips, Plattformen und CPUs als AMD. Und alles davon musste auf den Prüfstand.
Ich will ja Nichts sagen, aber Intel hat es 1. dementiert, 2. Klein gespielt und 3. mit fragwürdigen Aktionen versucht AMD an den Karren zu pissen..
Okay war letztes Jahr, aber ich weiß noch sehr wohl, was da Lief..
https://www.crn.de/security/super-gau-fuer-die-it-branche.115839.html
Das ist dann exakt das Gegenteil von dem was AMD hier macht.
 
Zuletzt bearbeitet:

ChrFr

Lieutenant
Dabei seit
Mai 2009
Beiträge
588
Derweil bringt IntelliJ Intel´s Ice-Lake-CPU zum Absturz...🙄und das ist ein Problem aus der Praxis.
Zitat von tweakpc.de:
Wie der tschechische Anbieter von Software-Entwicklungswerkzeugen, JetBrains, herausgefunden hat, kann es bei Systemen mit Ice-Lake-CPU in Verbindung mit der Java-Umgebung zu Abstürzen bei der Verwendung von IntelliJ kommen.
Quelle: TweakPC @Volker
Zum Thema: So denn alle das Agesa Update für das Problem bekommen und nicht rumgedruckst wird, sehe ich das nicht als Game Breaker.

MfG
Christian
 

FGA

Lt. Junior Grade
Dabei seit
Feb. 2010
Beiträge
386
Mir alles egal, Hauptsache mein PC rechnet. Dafür wurde er angeschafft. Was er berrechnet spielt letzlich keine Rolle, ob nun Musik, Spiele oder Videos. :D
 

Ernie75

Lieutenant
Dabei seit
Juli 2018
Beiträge
563
Vielleicht ist das auch noch nicht 100% sicher. Und man möchte den Vorwurf einer Salamitaktik vermeiden.
Und @Shririnovski Na ja, vielleicht wollen sie es einfach deswegen nicht bekannt geben, weil dann alle Mainboards die sicher sein wollen, daß Update einspielen müssten und so dann deutlich mehr Systeme sicher wären. 😉
Obwohl diese Art keine so gute Idee wäre, wie ich finde.
Ich denke allerdings auch eher. Daß sie eventuell noch einige CPUs prüfen müssen. Und dann lieber alles in einem Aufwasch erledigen.

Ich finde es jedenfalls gut, daß sie so handeln, denn das wirkt auf mich sehr zügig und offen.
Bin gespannt, ob es für mein B350 denn auch ein Update gibt.
 

Iscaran

Commander
Dabei seit
Dez. 2007
Beiträge
3.042
Leute....das ist alles zwar "unschön". Aber wirklich leicht zu patchen und kostet keine Performance.

Und einen Admin-Like Hardwarezugang zu haben ist natürlich auch eine Bedingung die eben nicht so kritisch ist für viele Fälle.

Hier ist es ausführlich dargelegt: https://medium.com/@dannyodler/attacking-the-golden-ring-on-amd-mini-pc-b7bfb217b437

Zur Timeline: Entdeckt am 2. April 2020. Von AMD bestätigt am 16.4.2020. Fix ab heute im ausrollen via BIOS Updates.

AMD -2020–0039 — Assigned as CVE-2020–14032; Severity High; 2/4/20 reported; 16/4/20 approved as vulnerability; 8/6/20 fixed version released.

Übrigens der Entdecker der Lücken sagt folgendes: " Good words also to AMD and ASRock for their fast response and quick fix release. "

Von mir übersetzt: "Gute Worte an AMD und ASRock für ihre schnelle Reaktion und schnellen Fix release."

Die Lücke(n) sind laut Aussage des Entdeckers auch schon gefixed:
"This vulnerability was fixed by adding several checks to destination buffer and other pointers such that they do not point to SMRAM regions. "
 

PPPP

Banned
Dabei seit
März 2020
Beiträge
395
Wenn die Lücke keine Leistung kostet und schnell gepatcht wird.. Gibt schlimmeres.

Immerhin kann keiner mehr behaupten "bei AMD sucht ja keiner" das war schon immer Blödsinn.
Fakt ist einfach dass AMD beim Design von ZEN auch auf Sicherheitsaspekte Wert gelegt hat und dessen ständige Prüfung und Validierung ein wichtiger Bestandteil dieser Sicherheitskultur ist.
:lol: :stacheln:

Selbstverständlich wird bei Intel eher gesucht, Stichwort Bug Bounty Program - etwas vergleichbares gibt es bei AMD nicht. Kein Geld - kein Anreiz. Dazu hat es bis vor Kurzem aufgrund der geringen Marktpräsenz auch keine mediale Aufmerksamkeit gebracht.
 

CastorTransport

Lt. Commander
Dabei seit
Apr. 2017
Beiträge
2.017
Intel hat 10x mehr Chips, Plattformen und CPUs als AMD. Und alles davon musste auf den Prüfstand.
Außerdem ist die Komplexität eine ganz andere,....
Lalalalaaaaalaalaaaa... Und Intel hat >100 Sicherheitslücken in deren CPUs, also kommt es wohl doch auf einen Nenner raus.

Aber hey - da ist er ja, der erste Intel-ist-gar-nicht-so-schlimm-Beitrag ^^
 

LukS

Commander
Dabei seit
Dez. 2009
Beiträge
3.057

Ex3cuter

Lieutenant
Dabei seit
Sep. 2011
Beiträge
920
Ich wette auch bei Ryzen Desktop CPUs ließe sich was finden, wenn ein windiger Hacker tief genug bohrt. Das ist eben das Problem was viele nicht verstehen, als Sie Intel ausgelacht haben. Jedes System hat Lücken, ob schwerwiegend kleine, einfach. komplizierte. Vlt. kann sich in Zukunft die Künstliche Intelligenz sich selbst Fixen aber das ist noch Science Fiction. :D
 

aldaric

Admiral
Dabei seit
Juli 2010
Beiträge
7.183
Das ist eben das Problem was viele nicht verstehen, als Sie Intel ausgelacht haben.
Niemand hat Intel wegen den Lücken ausgelacht. Sondern ihren Umgang mit diesen.

Was man Intel jedoch unterstellen kann, dass sie seit 2005/2006 untätig waren, obwohl es große Sicherheitsbedenken wegen ihrem Hyperthreading gab. Man hat das einfach unter den Teppich gekehrt und Performance über Sicherheit gestellt.
 

Chismon

Commodore
Dabei seit
Mai 2015
Beiträge
4.999
Glueck gehabt, dass ich erst jetzt mit einer AMD APU (Ranoir) einsteigen werde, aber gut moeglich, dass dort dann auch irgendwann eine Sicherheitsluecke geschlossen werden muss.

Solange diese identifiziert und dann gehandelt wird, sehe ich da weniger Probleme, es sei denn das Patchen ginge massiv auf die Leistung, aber hoffentlich bleibt einem das erspart.
 

deineMudda

Cadet 4th Year
Dabei seit
Mai 2015
Beiträge
125
Was um alles in dieser Welt bedeutet dieser Satz?
"Wie bei vielen CPU-Lücken ist die Startbedingung bereits der erste Schwierigkeitsgrad, da direkter Zugriff auf das System oder zumindest Administratorrechte benötigt werden."
 

modena.ch

Rear Admiral
Dabei seit
Nov. 2010
Beiträge
5.823
:lol: :stacheln:

Selbstverständlich wird bei Intel eher gesucht, Stichwort Bug Bounty Program - etwas vergleichbares gibt es bei AMD nicht. Kein Geld - kein Anreiz. Dazu hat es bis vor Kurzem aufgrund der geringen Marktpräsenz auch keine mediale Aufmerksamkeit gebracht.

Wird bei Intel ein Problem gefunden, wird der AMD Prozessor selbstverständlich auch von vielen auf denselben Fehler getestet. Und selten waren sie erfolgreich.

Man kann also schon sagen, dass AMD mehr Wert auf Sicherheit gelegt hat.
Stand jetzt sind sie massiv sicherer.

@deineMudda
Das heisst, wenn ich erst Adminrechte brauche um ein System über AGESA anzugreifen,
ist es nicht wirklich tragisch. Weil wenn ich sowieso Adminrechte habe, wieso sollt ich dann über das AGESA
versuchen einzudrigen? Da kann ich eh schon alles damit machen.
 
Top