Sicherheitslücken im UEFI von Ryzen-APUs: AMD verteilt AGESA-Update

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Sicherheitslücken im UEFI von Ryzen-APUs: AMD verteilt AGESA-Update

Um Sicherheitslücken im UEFI von APUs, sprich Chips mit integrierter Grafikkarte, aus dem Weg zu räumen, hat AMD neue AGESA-Versionen angekündigt. Die Schwachstellen sind anscheinend nur vor Ort auszunutzen und ohne großen Aufwand zu beheben.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Sicherheitslücken im UEFI von Ryzen-APUs: AMD verteilt AGESA-Update
 
Das betrifft nicht nur AMD :-(

Für mich haben die Betriebssysteme eindeutig zu viel Macht das UEFI zu manipulieren ;-)
Ist halt der ganzen Trust Mist geschuldet.. Was an sich ja ne gute Sache "Wäre" Aber halt nicht so wie es genutzt wird..
Heute werden ja schon lange Fernseher angegriffen und Manipuliert dazu der ganze Cookies Missbrauch..
 
PCTom schrieb:
Genau so eine APU werkelt in meinem Homeserver. Werd dann wohl mal das Bios flashen müssen. Gut das AMD damit schnellstmöglich an die Öffentlichkeit geht. Gibt ja so HW Hersteller die wissen um ihre Lücken und machen das nicht ;).
Zum Vergrößern anklicken....
Immer schön mit zweierlei Maß messen :rollen:.
Intel hat die Gruppe teils finanziert und kam nicht zu Potte bzw. konnte nicht alle Lücken hardwareseitig schließen.
Der Firmware-Exploit hier stammt tatsächlich von einer privat Person, man musste an die Öffentlichkeit da ihnen natürlich eine Timeline gesetzt wurde.
 
Infi1337 schrieb:
Intel hat die Gruppe teils finanziert und kam nicht zu Potte bzw. konnte nicht alle Lücken hardwareseitig schließen.
Zum Vergrößern anklicken....
Welche meinst du? Falls du die Spectre Varianten oder die Managemet Engine meinst, diese sind jedenfalls noch nicht Hardwareseitig geschlossen, sondern nur die Erkennungsmuster werden Softwareseitig blockiert.
Der Firmware-Exploit hier stammt tatsächlich von einer privat Person, man musste an die Öffentlichkeit da ihnen natürlich eine Timeline gesetzt wurde.
Zum Vergrößern anklicken....
Das mit der Timeline ist bei jeder gefundenen Sicherheitslücke der Fall. Wäre auch blöd, wenn man die Sicherheitslücke sofort veröffentlichen würde und die Firmen hätten keine Möglichkeit das anzuschauen und zu fixen. Bei den Whitehats sind das glaube ich 60 Tage nach Meldung an die betroffene Firma, bis dann die Sicherheitslücke/Exploit von den Findern selbst veröffentlicht wird.
 
Das ganze UEFI Zeug ist die Seuche an sich. Unzählige Funktionen, die auf mehr "Anwenderfreundlichkeit" ausgelegt sind, als auf Funktion an sich und alle ihre eigenen Softwarebugs haben. Mit den ganzen UIs fast zu groß für manche Speicherchips(siehe Upgrade-Diskussion bei AMD vor ein paar Wochen) und zum Teil unübersichtlich wie nix.
Rein funktionale BIOS-Interfaces mit UEFI-Bootfunktionen wären da echt ein Segen und sicherheitstechnisch deutlich einfacher zu handhaben. Otto-Normalnutzer besucht das Bios ohnehin nicht(außer vielleicht das Bootmenü) und der erfahrene Nutzer braucht kein Gaming-UI.
Hier betrifft das zwar eine Apu, wo es Gründe geben kann da vom Betriebssystem aus Änderungen über SMM vornehmen zu wollen, aber der laxe Umgang mit Systemkomponenten bleibt nach wie vor im Raum stehen.
 
XD-User schrieb:
Krass wie schnell AMD reagiert hat, gut so :)
Zum Vergrößern anklicken....

War ja auch ein eher leicht zu fixendes (Einfügen einiger zusätzlicher Prüfungen) aber dennoch schwerwiegendes (Severity High) Problem und AMD brauchte rund 2,5 Monate für ein aktualisiertes BIOS/AGESA. Darüber hinaus sind APUs seit 2016 betroffen, also keine Kleinigkeit.
 
Freakless08 schrieb:
Die CVE ist vom 15. Mai. Wo sind das 2,5 Monate?
Zum Vergrößern anklicken....
Zeitleiste-
AMD -2020–0039 - Zugewiesen als CVE-2020–14032; Schweregrad hoch; 2/4/20 gemeldet; 16/4/20 als Sicherheitslücke genehmigt; 8/6/20 feste Version veröffentlicht.
AMD -2020–0040 ; Schweregrad hoch; 2/4/20 gemeldet; 16/4/20 als Sicherheitslücke genehmigt; Noch nicht behoben.
AMD -2020–0041 ; Schweregrad hoch; 2/4/20 gemeldet; 16/4/20 als Sicherheitslücke genehmigt; Noch nicht behoben.
Attacking the Golden Ring on AMD Mini-PC - danny odler - Medium
 
Infi1337 schrieb:
Immer schön mit zweierlei Maß messen :rollen:.
Intel hat die Gruppe teils finanziert und kam nicht zu Potte bzw. konnte nicht alle Lücken hardwareseitig schließen.
Der Firmware-Exploit hier stammt tatsächlich von einer privat Person, man musste an die Öffentlichkeit da ihnen natürlich eine Timeline gesetzt wurde.
Zum Vergrößern anklicken....

sowie ic hdas mitbekomm hab wollte intel denen rechtlich an kragen das die ihre ergebnisse nicht wie vertraglich vereinbart veröffentlichen sondern stillschweigen betreiben.
nur doof das es eine europäische uni war.:ugly:
 
Lob an den Autor für die sachliche Information schon im Kopftext! Sicherheitslücke ja, aber physicher Zugang vor Ort notwendig, daher als objektiv bewertete Sicherheitslücke nur ein minimales Sicherheitsproblem.
So finde ich Artikel korrekt und informativ gemacht, Danke!

Und zwar egal ob AMD oder Intel.
 
Zuletzt bearbeitet:
Casurin schrieb:
Falsch. physischer Zugang ist eine Möglichkeit, Adminrechte reichen aber genauso aus. Adminrechte auf einen kleinen Teil des Systems zu erhalten (oder auch über eine VM) ist recht einfach.
Zum Vergrößern anklicken....
Stimmt, hatte ich beim Schreiben wieder vergessen. Steht aber da. Damit ist es dann auf jeden Fall sinnvoll, das zeitnah zu patchen.
 
Freakless08 schrieb:
Welche meinst du? Falls du die Spectre Varianten oder die Managemet Engine meinst, diese sind jedenfalls noch nicht Hardwareseitig geschlossen, sondern nur die Erkennungsmuster werden Softwareseitig blockiert.
Zum Vergrößern anklicken....
Doch sind sie, nur nicht alle. Nicht jede kann mit Software Workarounds und Microcode geschlossen werden. HT kann ähnlich wie DDR4 bei Rowhammer seine Verhaltensweise nicht so ändern das sie bei jeder Angriffsmethode bezüglich Sidechannelattacks immun ist, vor allem wenn jemand am PC selbst sitzt. De fakto hat Intel diese umfassende Forschungsarbeit aber mit finanziert, AMD hier nicht soweit ich das sehe.

Freakless08 schrieb:
Das mit der Timeline ist bei jeder gefundenen Sicherheitslücke der Fall. Wäre auch blöd, wenn man die Sicherheitslücke sofort veröffentlichen würde und die Firmen hätten keine Möglichkeit das anzuschauen und zu fixen. Bei den Whitehats sind das glaube ich 60 Tage nach Meldung an die betroffene Firma, bis dann die Sicherheitslücke/Exploit von den Findern selbst veröffentlicht wird.
Zum Vergrößern anklicken....
Nein ist nicht bei jeder Sicherheitslücke der Fall, liegt in der Hand des Entdeckers und wer da mit drin hängt. Was soll das für eine Argumentation sein ?

Er lobte auch noch das AMD "schnell" an Öffentlichkeit gegangen ist, das mussten sie eben weil die Timeline ablief. AMD wusste ebenfalls logischerweise schon länger von dieser Sache, fast zwei ein halb Monate.

takan schrieb:
sowie ic hdas mitbekomm hab wollte intel denen rechtlich an kragen das die ihre ergebnisse nicht wie vertraglich vereinbart veröffentlichen sondern stillschweigen betreiben.
nur doof das es eine europäische uni war.:ugly:
Zum Vergrößern anklicken....
Totaler Schwachsinn, wie gewohnt. Die sind verträglich verpflichtet zu melden, weil Intel mit Sponsor ist. Verträge gelten auch in Europa.
Intel hat schlicht nicht alle Lücken schließen können für eine Generation die schon auf dem Weg in den Handel war bzw. diese nicht gestoppt, das hat zwischen den Parteien zu Irritationen geführt wenn ich das richtig in Erinnerung habe.
 
Zuletzt bearbeitet:
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News AMD Ryzen 8000G: Neue AGESA-Firmware für Desktop-APUs mit Zen 4 und Zen 4c erschienen
Antworten
2
Aufrufe
668
Ghostshield
Ghostshield
PCGH-Redaktion
News AMD Ryzen 7000G: Neue AGESA-Version unterstützt Phoenix-APUs im Desktop
Antworten
12
Aufrufe
1K
Mai04
M
PCGH-Redaktion
News AMD Ryzen 7000G: Neue AM5-Firmware für Zen-4-Desktop-APUs wird ausgerollt
Antworten
8
Aufrufe
1K
Zik7
Zik7
PCGH-Redaktion
News AMD: Leaks von Ryzen 8000G-APUs zeigen bis zu 30 Prozent mehr als 5000G-APUs in Passmark
Antworten
4
Aufrufe
570
PCGH_Dave
PCGH_Dave
PCGH-Redaktion
News CacheWarp: AMD verteilt Updates gegen Sicherheitslücke in SEV-ES und SEV-SNP
Antworten
5
Aufrufe
801
Pleasedontkillme
Pleasedontkillme
Oben Unten
Zurück