Seite 14: 20. Update: AMD und Intel äußern sich erneut

AMDs Senior Vice President und Chief Technology Officer, Mark Papermaster, hat sich noch einmal genauer zur Sicherheit der AMD-Prozessoren geäußert. Dies wurde auch notwendig, da unterschiedliche Berichte zur Anfälligkeit der AMD-Prozessoren gegen Spectre und Meltdown aufgetaucht sind. Einerseits seien Software-Updates ausreichend, andererseits werden aber auch Kernel-Updates verteilt, in denen Microcode-Updates enthalten sind. Dies dürfte nach der Argumentation gar nicht notwendig sein.

Nun zunächst zu dem, was AMD an detaillierteren Informationen veröffentlicht hat.

Spectre Variante 1: Bounds Check Bypass

  • Die Sicherheitslücke kann laut AMD durch eine Software-Update geschlossen werden. Größtenteils wurden diese Patches bereits verteilt.
  • Bei einigen AMD-Prozessoren (AMD Opteron, Athlon und AMD Turion X2) kann es zu Problemen mit dem Patch für Windows 10 kommen. AMD arbeitet mit Microsoft daran den Patch entsprechend anzupassen.
  • Die verschiedenen Linux-Distributionen beginnen inzwischen auch damit den Patch einzupflegen.

Spectre Variante 2: Branch Target Injection

  • Laut AMD ist es sehr unwahrscheinlich, dass die eigenen Prozessoren aufgrund der Architektur dafür anfällig sind. AMD arbeitet dennoch mit seinen Partnern daran, weitere Gefahren zu vermeiden. Eine Kombination aus Software- und Microcode-Updates soll dies sicherstellen.
  • AMD wird noch in dieser Woche optionale Microcode-Updates für Ryzen- und Epyc-Prozessoren anbieten. Für die älteren Prozessoren sollen diese Updates in der kommenden Woche angeboten werden. Die Tatsache, dass die Microcode-Upates optional sind, sagt einiges über die Einschätzung der Anfälligkeit der AMD-Prozessoren. Endkunden und Betreiber von Serverhardware können entscheiden, ob sie in minimales Risiko eingehen wollen und dafür weiterhin die maximale Leistung bekommen oder nicht.

Meltdown: Rogue Data Cache Load

  • Aufgrund des in den Prozessoren eingebauten Schutzes vor nichtprivilegierten Zugriffen geht AMD noch immer davon aus nicht von Meltdown betroffen zu sein.

AMDs GPU-Architekturen sind für keine der genannten Sicherheitslücken anfällig und daher bedarf es laut AMD hier auch keiner Maßnahmen.

Intel geht Probleme mit Broadwell und Haswell an

In den vergangenen Tagen sind vermehrt Berichte aufgetaucht, die von ungewollten Reboots nach den ersten Firmware-Updates sprachen. Intel analysiert die Problematik derzeit und will entsprechend weitere Informationen bekanntgeben. Falls nötig, würde auch ein Update angeboten, welches die Firmware wieder auf den alten Stand bringt.

As Intel CEO Brian Krzanich emphasized in his Security-First Pledge, Intel is committed to transparency in reporting progress in handling the Google Project Zero exploits.

We have received reports from a few customers of higher system reboots after applying firmware updates. Specifically, these systems are running Intel Broadwell and Haswell CPUs for both client and data center. We are working quickly with these customers to understand, diagnose and address this reboot issue. If this requires a revised firmware update from Intel, we will distribute that update through the normal channels.  We are also working directly with data center customers to discuss the issue.

End-users should continue to apply updates recommended by their system and operating system providers.

Offener Brief von Brian Krzanich, CEO von Intel

Brian Krzanich, CEO von Intel, hat zudem einen offenen Brief veröffentlicht:

Following announcements of the Google Project Zero security exploits last week, Intel has continued to work closely with our partners with the shared goal of restoring confidence in the security of our customers’ data as quickly as possible. As I noted in my CES comments this week, the degree of collaboration across the industry has been remarkable. I am very proud of how our industry has pulled together and want to thank everyone for their extraordinary collaboration. In particular, we want to thank the Google Project Zero team for practicing responsible disclosure, creating the opportunity for the industry to address these new issues in a coordinated fashion.

As this process unfolds, I want to be clear about Intel’s commitments to our customers.  This is our pledge:

1. Customer-First Urgency: By Jan. 15, we will have issued updates for at least 90 percent of Intel CPUs introduced in the past five years, with updates for the remainder of these CPUs available by the end of January. We will then focus on issuing updates for older products as prioritized by our customers.

2. Transparent and Timely Communications: As we roll out software and firmware patches, we are learning a great deal. We know that impact on performance varies widely, based on the specific workload, platform configuration and mitigation technique. We commit to provide frequent progress reports of patch progress, performance data and other information. These can be found at the Intel.com website.

3. Ongoing Security Assurance: Our customers’ security is an ongoing priority, not a one-time event. To accelerate the security of the entire industry, we commit to publicly identify significant security vulnerabilities following rules of responsible disclosure and, further, we commit to working with the industry to share hardware innovations that will accelerate industry-level progress in dealing with side-channel attacks. We also commit to adding incremental funding for academic and independent research into potential security threats.

We encourage our industry partners to continue to support these practices. There are important roles for everyone: Timely adoption of software and firmware patches by consumers and system manufacturers is critical. Transparent and timely sharing of performance data by hardware and software developers is essential to rapid progress.

The bottom line is that continued collaboration will create the fastest and most effective approaches to restoring customer confidence in the security of their data. This is what we all want and are striving to achieve.

— Brian Krzanich