> > > > CTS-Labs glaubt nicht an schnelle Fixes für Sicherheitslücken

CTS-Labs glaubt nicht an schnelle Fixes für Sicherheitslücken

Veröffentlicht am: von

amd logoDie Geschichte rund um die unter fragwürdigen Umständen publik gemachten Sicherheitslücken namens MasterKey, Chimera, Ryzenfall und Fallout geht weiter. Nachdem die CTS-Labs ein Proof of Concept für die MasterKey-Sicherheitslücke präsentierten, bestätigte AMD die Sicherheitslücken. Allerdings verweist AMD darauf, dass immer ein Admin-Zugriff auf die Hardware selbst notwendig ist, um die Lücken zu nutzen und das alle Sicherheitslücken innerhalb von Wochen per Firmware- und BIOS-Update geschlossen werden sollen.

Auf die von AMD gemachten Veröffentlichten reagierte nun wiederum CTS-Labs. Dem Statement zufolge versuche AMD die Auswirkungen der Sicherheitslücken herunterzuspielen. Zudem seien die geplanten Veröffentlichungen für Firmware- und BIOS-Updates zeitlich sehr optimistisch angesetzt. Innerhalb weniger Wochen sei dies nicht möglich, man selbst gehe von Monaten aus.

Die veröffentlichten Sicherheitslücken beschränkten sich auch nicht auf einzelne Systeme. Sei eines kompromittiert, gelte dies auch für alle weiteren Systeme im Netzwerk. Die Auswirkungen der Sicherheitslücken seien also bedeutend größer. Zu guter letzt sei gerade der Zeitplan für einen Fix der Chimera-Sicherheitslücke schwierig abzuschätzen, da hier auch die Mainboardhersteller einbezogen werden müssen. Dies würde weitere Verzögerungen bedeuten.

  • We believe AMD is attempting to downplay the significance of the vulnerabilities
  • Our view is AMD’s suggested timeline for its patches roll out is drastically optimistic – we believe a number of the fixes are likely to take months, not weeks
  • We believe the AMD flaws have potential to turn a local problem into a network-wide problem
  • Notably, AMD did not provide a time estimate for patching CHIMERA

Nun ist aber ohnehin AMD am Zuge. Je schneller wir die Firmware- und BIOS-Updates sehen, desto besser lassen sich die Vorwürfe von CTS-Labs entkräftigen.