News Updates verfügbar oder geplant: Unzählige Sicherheitslücken in AMD-CPUs und Intel-Produkten

[patze812]

Oooch menno - hätte ich doch bloß kein intel oder amd für meinen gaming pc gekauft

 

[lhinny]

Ich empfehlen mit CPU-Z das Mainboard auszulesen. Dann könnte man nach dem BIOS Update dirtekt suchen.

nach was genau müsste ich jetzt wo suchen?

Ergänzung (15. Februar 2024)

Oooch menno - hätte ich doch bloß kein intel oder amd für meinen gaming pc gekauft

Richtig, nur auf nem Apple M1/M2/M3 zockt es sich sicher... oder so ähnlich

 

[patze812]

auf nem Apple M1/M2/M3 zockt es sich siche

Applegaming 4Life !

 

[DevPandi]

Und wochenweise stehen hierzulande Firmen still, weil sie verschlüsselt wurden, oder es landen mal wieder die Daten von tausenden Leuten im Netz.

Was ja in der Regel auf menschliches Versagen und/oder Kostenreduktion zurückzuführen ist.

Wobei es da meist eher an den Basics scheitert und nicht an schwierig auszunutzenden Lücken in CPUs.

Manchmal sind es die Basic, dann einfach unerkannte Sicherheitslücken oder geschicktes Social-Engenieering.

Aber da reden wir meistens von Software-Lücken.

Wieso kommt so plötzlich eine so große Anzahl an Sicherheitslücken zum Vorschein?

1. Weil viele der Lücken teilweise über mehre Monate gesammelt werden und sofern AMD/Intel entsprechend "positiv" reagieren, dann wird mit der Veröffentlichung gewartet, bis AMD und Intel die Patches weitgehend ausgerollt haben.

2. Weil heute auch die Hardware in das Zentrum der Sicherheitsforscher gerückt ist, was früher nicht so der Fall war. Auf Software-Ebene sind die meisten möglichen Sicherheitslücken heute weitgehend bekannt und fast jedes modernere Framework zur Software-Entwicklung bietet heute entsprechende Automatismen für die gängisten Lücken.

Mit Rust als auch anpassungen in anderen Sprachen wird der Speicherüberlauf minimiert und Co. Sicherheitslücken entstehen meist dadurch, dass irgendwo mal wieder ein Parameter ohne Filter übergeben wurde, eine Datei ohne Filter gelesen wurde. Rechte unsinnigerweise angeforder wurden oder eine Variable nicht konsequent genug "gehandhabt" wird im Programm.

Bei Hardware ist es noch ein Stück anders. Viele der Probleme dort sind noch "unbekannt" und entsprechend wird da gesucht.

die nur alle lange in einer Schublade gesammelt bis sie nun veröffentlicht wurden?

Teils teils.

Es gibt also keinen Grund zur Panik.

Ach, Panik sollte man eh nie schieben. Es gibt kein absolut sicheres System und Lücken können immer auftreten.

 

[Engaged]

Performance impact?

Und ist es das?

1. Update AMD AM4 AGESA Combo V2 PI 1.2.0.B
2.Patch UEFI LogoFail vulnerabilities.

 

[aLanaMiau]

Und, hätte das MS sudo uns davor gerettet? Nein?

 

[raychan]

Sind eigentlich auch die AMD CPU aus den Synology NAS betroffen?
Speziell der AMD Ryzen V1500B?

 

[mcbloch]

Hat das auch was hiermit zu tun, oder ist das wieder was anderes ??

This update includes the patch for the LogoFAIL vulnerabilities

 

[frames p. joule]

"unzählige"?

 

[mibbio]

Hat das auch was hiermit zu tun, oder ist das wieder was anderes ??

LogoFail ist eine andere Lücke, die nichts mit irgendwelchen CPUs zu tun hat, sondern mit dem UEFI selbst besteht.

https://www.heise.de/news/UEFI-Schw...manipulierten-Bootlogos-umgehbar-9547013.html

 

[SpiII]

Und auch trotz DESSEN leben wir immer noch alle.

Und dennoch sollte man es nicht ignorieren und einfach so stehen lassen.

Es gibt auch andere Sachen, die mittlerweile Standards sind, die dir womöglich tagtäglich das Leben retten bzw. dich versuchen zu schützen.

Vllt jetzt nicht mit CPU Sicherheitslücken vergleichbar, aber pauschal ist die Aussage etwas dürftig. Nicht falsch, aber zu kurz gedacht.

 

[MGFirewater]

Ich würde auch das aktuelle Bios aufspielen, wenn ich sicher wäre, dass mein Windows danach noch funktioniert.

siehe den entsprechend thread hier bei cb. das problem existiert nicht mehr!

 

[Neodar]

In meiner Zeit als Admin war das immer ein riesen Aufwand den man gescheut hat m

So ein verdammter Mist aber auch, wenn man seinem Job auch wirklich nachkommen muss, wa?
Ja, mag Aufwand sein, aber es gehört einfach dazu und ist wichtig.
Wenn Firmen sowas unterlassen, weil es großer Aufwand ist und Zeit und Geld kostet, brauchen sie am Ende nicht zu jammern, wenn ihre IT gekapert wird.

 

[arvan]

Bei meinem Gigabyte B650E Aorus Master Board besteht nur folgendes Problem:

• Das letzte nicht-Beta BIOS für Ryzen 7000 hat Agesa 1.0.0.7c, Bios F8
• Das letzte nicht-Beta BIOS für Ryzen 8000 soll fehlerbehaftet sein, Bios F21
• Und das letzte Beta BIOS für Ryzen 8000 kommt für mich nicht in Frage, BIOS F22b

Jetzt muss Gigabyte entweder F9 mit Agesa 1.0.0.8 rausbringen,
oder F22/F23 mit Agesa 1.1.0.2.

Wo ist das Problem?

F22b ist mit AMD AGESA 1.1.0.2B verfügbar, das letzte F21 ist fehlerhaft, warum? Betrifft doch dein SMU/Ryzen 7000 gar nicht, wenn du einen 7000er hast oder ist etwas generell im UEFI fehlerhaft? Dann wäre das letzte nicht-Beta davor F20 und nicht F8... es gibt nur ein BIOS was mit neuen AGESA/SMU Versionen erneuert wird.
Es wird kein F9 geben, das ist abgelöst worden.

 

[shysdrag]

Auch bei Asrock wurde fleißig gepatcht:

 

[UweP44]

Wie üblich geht es bei den Sicherheitslücken entweder um das Erschleichen höherer Rechte im System oder die Möglichkeit zur Ausführung von Schadcode. Die Hürden sind auch in diesem Fall oft hoch, da lokaler, direkter Zugriff auf das System möglich sein muss,

Ist ja schön, dass die Hürden "oft" hoch sind.

Aber wie ist es konkret in diesem Fall?
Sind durch diese 4 Lücken wirklich nur Systeme betroffen auf die jemand direkt lokal Zugriff erlangt?

 

[Slim.Shady]

Heißt "lokaler Zugriff" mit seinen Fingern auf meiner Tastatur oder reicht es im gleichen WLAN zu sein?

 

[t3chn0]

Bei Asus sieht es mit AM5 derzeit so aus:

 

[Konsumkind]

Ist privat vielleicht nicht so wichtig. Aber in Cloudumgebungen schon. Und ich kann mir auch nicht vorstellen das da ständig BIOS Updates gemacht werden. In meiner Zeit als Admin war das immer ein riesen Aufwand den man gescheut hat aber doch gemacht hat.

Wieso eigentlich? Bei meinem PC ist das heute eine Sache von 10 Minuten, woran scheitert das bei Servern?

 

[=dantE=]

nicht nötig. "Never touch a running system"

Privat ... ja, ansonsten stellen sich mir bei derartigen Sätzen die Nackenhaare auf.