> > > > AMD schließt Sicherheitslücke in Firmware der eigenen APUs

AMD schließt Sicherheitslücke in Firmware der eigenen APUs

Veröffentlicht am: von

AMD Logo 2013Offenbar hatte und hat AMD mit einer schwerwiegenden Sicherheitslücke innerhalb der Firmware seiner Prozessoren zu kämpfen. Die Lücke wurde zwar bereits geschlossen, allerdings müssen die Mainboardhersteller die bereitgestellte Software noch in ihre BIOS-Updates einpflegen. Auf dem 31. Chaos Communication Congress (31C3) hat Rudolf Marek die Lücke vorgestellt, konzentrierte sich dabei aber nur auf den Angriffsvektor als solchen und ließ konkrete Angriffsszenarien aus.

Betroffen ist laut Marek die Firmware durch unzureichende Codesignaturen, die es Angreifern ermöglichen, fremden Code einzuschleusen und diesen auszuführen. Dies geschieht innerhalb der System Management Unit (SMU), die unter anderem für die Stromsparfunktionen verantwortlich ist. Sie bietet aber auch weit tiefergehenden Zugriff in die Konfigurationen. Die Firmware läuft dabei auf einem 32-Bit-Controller LatticeMicro32 (LM32) von Lattice Semiconductor. Rudolf Marek hat den Schlüssel geknackt, der für die Codesignatur des SHA1-Hash verwendet wird. Den SMU-Code hat er aus dem BIOS-Update isoliert und den dazugehörigen Code auf einem Emulator ausgeführt. Nachdem der Code geknackt war, konnte er eigene Befehle in die SMU einbauen und diese auch ausführen.

Die dazugehörige Firmware bietet AMD als Teil der AGESA (AMD Generic Encapsulated Software Architecture) an. Diese wurde von AMD bereits Ende November aktualisiert und den Herstellern von Mainboards, Notebooks und Komplettsystemen zur Verfügung gestellt. Diese wiederum implementieren die AGESA in ihre BIOS- und UEFI-Versionen. Teilweise ist dies wohl schon geschehen, aber eine klare Auskunft darüber ist nur schwer zu bekommen, da die Hersteller Details dazu nicht und oder nur unzureichend dokumentieren.

Betroffen sind alle Prozessoren der "Trinity"-, "Richland"-, "Kaveri"- und "Kabini"-Baureihe. Bereits im April des vergangenen Jahres meldete Rudolf Marek den Fehler an AMD, der dann im Sommer bestätigt und wie gesagt Ende November beseitigt wurde. Es bleibt nur zu hoffen, dass die Hersteller möglichst sensibel mit diesem Thema umgehen und die bereinigte AGESA bereits in ihre BIOS-Updates eingepflegt haben.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (3)

#1
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Fregattenkapitän
Beiträge: 2662
Die Überschrift liest sich etwas komisch. Natürlich fixt AMD die Firmware für ihre eigenen Produkte. Sollen sie die Firmware für Produkte anderer Hersteller fixen?
#2
customavatars/avatar18741_1.gif
Registriert seit: 31.01.2005
Südlichstes NRW
Kapitän zur See
Beiträge: 3585
AGESA und Co. ist doch sowieso ein schleichender Prozess, ganz davon ab, welcher Endanwender macht schon BIOS/UEFI Updates?
Ist ja nicht wie ne KDM beim Auto, die automatisch bei der jährlichen Inspektion erfolgt, oder ein Rückruf bei sicherheitsrelevanten Mängeln wo der Besitzer angeschrieben wird...
#3
Registriert seit: 13.09.2014

Gefreiter
Beiträge: 62
Zitat towa;23047470
AGESA und Co. ist doch sowieso ein schleichender Prozess, ganz davon ab, welcher Endanwender macht schon BIOS/UEFI Updates?


Hallo, also ich mache Updates meiner Firmware vom Motherboard.
Funktionen werden freigeschaltet oder Fehler behoben. Das wozu ein Firmware Update eben da ist.
Gerade bei den neueren Motherboards mit UEFI Bios ist es extrem einfach und sicher ein Update durch zu führen.
Insofern sehe ich da nicht wirklich einen Grund das Bios zu lassen wie es ist, mit der Gefahr das mein Rechner gehakt wird.
Immer natürlich vorausgesetzt, das der Anwender die Systemeinstellungen irgendwo abgeschrieben hat und seine Daten sichert. (aber wer macht das nicht ??;))
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Gelungener Feinschliff: AMD Ryzen 7 2700X und Ryzen 5 2600X im Test

    Logo von IMAGES/STORIES/2017/AMD_RYZEN_7_2700X

    Rund ein Jahr nach dem Start der Ryzen-Prozessoren legt AMD nach und bringt die zweite Generation in den Handel. Die soll schneller und effizienter arbeiten und den Druck auf Intel weiter erhöhen. Allerdings lautet die Devise Evolution statt Revolution, statt gravierender Änderungen gibt es vor... [mehr]

  • AMD Ryzen Threadripper 2990WX und 2950X im Test: Mit Vollgas an Intel vorbei

    Logo von IMAGES/STORIES/2017/AMD_THREADRIPPER_2950X

    Pünktlich zum ersten Geburtstag startet AMD den Ryzen-Threadripper-Generationswechsel. Und wie schon im Frühjahr beim Sprung von Ryzen 1 zu Ryzen 2 vertraut man auf zwei Dinge: mehr Kerne und einen geringeren Preis. Beide sollen dabei helfen, dem Dauerrivalen Intel im... [mehr]

  • Intel Core i9-9900K im Test: Acht Kerne mit Luxuszuschlag

    Logo von IMAGES/STORIES/2017/INTEL_CORE_I9-9900K

    Nach monatelangen Spekulationen und zahlreichen durchgesickerten Informationen hat Intel vor knapp zwei Wochen seine neunte Generation der Core-Prozessoren vorgestellt. Ins Rennen werden mit dem Core i5-9600K, Core i7-9700K und Core i9-9900K zunächst drei Modelle geschickt, die nicht nur... [mehr]

  • Intel mit eigenen Benchmarks zum i9-9900K, i9-9980XE und i9-9900X (5. Update)

    Logo von IMAGES/STORIES/2017/INTEL

    Am gestrigen Nachmittag präsentierte Intel die kommenden Produktlinien bei den Desktop-Prozessoren. Besonders interessant sind dabei natürlich die Core-Prozessoren der 9. Generation, die mit dem Core i9-9900K nun auch ein Modell mit acht Kernen und 16 Threads beinhalten. Im November wird es... [mehr]

  • AMD soll Ryzen 7 2800X mit 10 Kernen in Vorbereitung haben

    Logo von IMAGES/STORIES/2017/AMD_RYZEN_TEASER_100

    Auf der spanischen Seite El chapuzas Informatico ist ein Bild aufgetaucht, welches die Cinebench-Ergebnisse eines Ryzen 7 2800X zeigen soll. Derzeit lässt sich die Echtheit des Screenshots nicht bestätigen und bisher sind auch noch keine weiteren Informationen zu einem Ryzen 7 2800X... [mehr]

  • AMD Ryzen 3000: Acht Zen-2-Kerne mit PCIe 4.0 ab Mitte 2019

    Logo von IMAGES/STORIES/2017/RYZEN3000-CES19

    Neben der Vorstellung der Radeon Vega 7 als erste Gaming-GPU aus der 7-nm-Fertigung hat AMD eine Vorschau auf die Ryzen-Prozessoren der 3000er-Serie gegeben. Die als Matisse geführten Desktop-Prozessoren werden im Sockel AM4 Platz finden, basieren aber auf der neuen Zen-2-Architektur und bieten... [mehr]