> > > > AMD schließt Sicherheitslücke in Firmware der eigenen APUs

AMD schließt Sicherheitslücke in Firmware der eigenen APUs

DruckenE-Mail
Erstellt am: von

AMD Logo 2013Offenbar hatte und hat AMD mit einer schwerwiegenden Sicherheitslücke innerhalb der Firmware seiner Prozessoren zu kämpfen. Die Lücke wurde zwar bereits geschlossen, allerdings müssen die Mainboardhersteller die bereitgestellte Software noch in ihre BIOS-Updates einpflegen. Auf dem 31. Chaos Communication Congress (31C3) hat Rudolf Marek die Lücke vorgestellt, konzentrierte sich dabei aber nur auf den Angriffsvektor als solchen und ließ konkrete Angriffsszenarien aus.

Betroffen ist laut Marek die Firmware durch unzureichende Codesignaturen, die es Angreifern ermöglichen, fremden Code einzuschleusen und diesen auszuführen. Dies geschieht innerhalb der System Management Unit (SMU), die unter anderem für die Stromsparfunktionen verantwortlich ist. Sie bietet aber auch weit tiefergehenden Zugriff in die Konfigurationen. Die Firmware läuft dabei auf einem 32-Bit-Controller LatticeMicro32 (LM32) von Lattice Semiconductor. Rudolf Marek hat den Schlüssel geknackt, der für die Codesignatur des SHA1-Hash verwendet wird. Den SMU-Code hat er aus dem BIOS-Update isoliert und den dazugehörigen Code auf einem Emulator ausgeführt. Nachdem der Code geknackt war, konnte er eigene Befehle in die SMU einbauen und diese auch ausführen.

Die dazugehörige Firmware bietet AMD als Teil der AGESA (AMD Generic Encapsulated Software Architecture) an. Diese wurde von AMD bereits Ende November aktualisiert und den Herstellern von Mainboards, Notebooks und Komplettsystemen zur Verfügung gestellt. Diese wiederum implementieren die AGESA in ihre BIOS- und UEFI-Versionen. Teilweise ist dies wohl schon geschehen, aber eine klare Auskunft darüber ist nur schwer zu bekommen, da die Hersteller Details dazu nicht und oder nur unzureichend dokumentieren.

Betroffen sind alle Prozessoren der "Trinity"-, "Richland"-, "Kaveri"- und "Kabini"-Baureihe. Bereits im April des vergangenen Jahres meldete Rudolf Marek den Fehler an AMD, der dann im Sommer bestätigt und wie gesagt Ende November beseitigt wurde. Es bleibt nur zu hoffen, dass die Hersteller möglichst sensibel mit diesem Thema umgehen und die bereinigte AGESA bereits in ihre BIOS-Updates eingepflegt haben.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (3)

#1
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Oberleutnant zur See
Beiträge: 1435
Die Überschrift liest sich etwas komisch. Natürlich fixt AMD die Firmware für ihre eigenen Produkte. Sollen sie die Firmware für Produkte anderer Hersteller fixen?
#2
customavatars/avatar18741_1.gif
Registriert seit: 31.01.2005
NRW
Kapitän zur See
Beiträge: 3529
AGESA und Co. ist doch sowieso ein schleichender Prozess, ganz davon ab, welcher Endanwender macht schon BIOS/UEFI Updates?
Ist ja nicht wie ne KDM beim Auto, die automatisch bei der jährlichen Inspektion erfolgt, oder ein Rückruf bei sicherheitsrelevanten Mängeln wo der Besitzer angeschrieben wird...
#3
Registriert seit: 13.09.2014

Matrose
Beiträge: 45
Zitat towa;23047470
AGESA und Co. ist doch sowieso ein schleichender Prozess, ganz davon ab, welcher Endanwender macht schon BIOS/UEFI Updates?


Hallo, also ich mache Updates meiner Firmware vom Motherboard.
Funktionen werden freigeschaltet oder Fehler behoben. Das wozu ein Firmware Update eben da ist.
Gerade bei den neueren Motherboards mit UEFI Bios ist es extrem einfach und sicher ein Update durch zu führen.
Insofern sehe ich da nicht wirklich einen Grund das Bios zu lassen wie es ist, mit der Gefahr das mein Rechner gehakt wird.
Immer natürlich vorausgesetzt, das der Anwender die Systemeinstellungen irgendwo abgeschrieben hat und seine Daten sichert. (aber wer macht das nicht ??;))
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Core i7-6950X im Test: Dicker Motor, alte Karosse

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/6950X/6950X-LOGO

Intels letzter CPU-Launch ist schon eine Weile her - Ende Oktober 2015 testeten wir den Xeon E5-1230v5 auf Skylake-Basis, seitdem war zumindest im Desktop-Bereich nichts neues mehr vom Marktführer zu hören. Am heutigen Tag aktualisiert Intel endlich die High-End-Plattform und bringt mit dem Core... [mehr]

So schnell ist Kaby Lake: Erste eigene Benchmarks zum i7-7500U

Logo von IMAGES/STORIES/REVIEW_TEASER/INTEL_KABY_LAKE

Offiziell vorgestellt hat Intel die 7. Generation der Core-Prozessoren bereits Ende August, doch erst jetzt ist Kaby Lake in Form des ersten Notebooks verfüg- und damit testbar. Dabei handelt es sich um das Medion Akoya S3409 MD60226, in dem ein Core i7-7500U verbaut wird. Während das Notebook... [mehr]

Intel 'Kaby Lake': Die siebte Core-Generation im Detail vorgestellt

Logo von IMAGES/STORIES/LOGOS-2016/INTEL_7TH_CORE_GEN

Im Zuge der kommenden "Kaby Lake"-Plattform, deren breite Verfügbarkeit für das erste Quartal 2017 erwartet wird, nutzt Intel heute die Gelegenheit, die siebte Core-Generation offiziell im Detail vorzustellen und bereits ein paar Prozessoren auf den Markt zu bringen. Wir konnten uns bereits vor... [mehr]

Delid Die Mate im Test

Logo von IMAGES/STORIES/IMAGES/STORIES/GALLERIES/REVIEWS/2016/DDM/DDM

Seit der Ivy-Bridge-Generation verlötet Intel Die und Heatspreader nicht mehr miteinander, was leider in deutlich schlechteren Kern-Temperaturen resultiert. Abhilfe dagegen schafft nur das Delidding (das sogenannte „Köpfen“) der CPU sowie der anschließende Austausch der Wärmeleitpaste durch... [mehr]

Intel Core i7-7700K (Kaby Lake) nun ebenfalls in Benchmark gesichtet

Logo von IMAGES/STORIES/LOGOS-2015/INTEL3

Mittlerweile sind die ersten Benchmarks zum kommenden Intel Core i7-7700K (Kaby Lake) aufgetaucht und ergänzen damit die Werte zum Core i7-7500U. Die Ergebnisse wirken durchaus sehr glaubhaft, denn sie sind in der offiziellen Datenbank von Geekbench 4 zu finden. Getestet wurde der neue Prozessor... [mehr]

AMD nennt architektonische Details zu Zen - Summit Ridge mit Broadwell-E...

Logo von IMAGES/STORIES/LOGOS-2016/AMD-ZEN

Alle Journalisten, die von Intel auf das IDF eingeladen wurden, bekamen von AMD eine Einladung für ein eigenes Event im Hotel gegenüber. Also machte sich der Tross auf den Weg, um in einer Pressekonferenz neue Details über AMDs kommende Zen-Architektur und die Prozessoren zu erfahren. Erstmals... [mehr]