1. Hardwareluxx
  2. >
  3. News
  4. >
  5. Hardware
  6. >
  7. Prozessoren
  8. >
  9. AMD muss BIOS-Updates gegen Sicherheitslücke verteilen

AMD muss BIOS-Updates gegen Sicherheitslücke verteilen

Veröffentlicht am: von

amd ryzen 5 2400gAMD muss aufgrund einer Sicherheitslücke im UEFI einige BIOS-Versionen erneuern. Betroffen sind Systeme mit APUs, die zwischen 2016 bis 2019 vorgestellt wurden. Los geht es also mit Bristol Ridge bis hin zu Raven Ridge und Picasso (Ryzen 3000 und Ryzen 4000 mit integrierter Grafik).

Die Sicherheitslücke hört auf den Namen SMM Callout Privilege Escalation (CVE-2020-12890). Über die Sicherheitslücke können sämtliche Schutzmaßnahmen umgangen werden – sowohl die des Prozessors, als auch die des Betriebssystems. Um die Sicherheitslücke ausnutzen zu können, muss man allerdings physischen Zugriff auf das System haben. Die Ausführung als solches soll dabei aber recht einfach und die Sicherheitsmechanismen schnell ausgehebelt sein. Auf der anderen Seite soll auch das Schließen der Lücke nicht sonderlich kompliziert sein.

Allerdings ist AMD hier auf die Mithilfe der Mainboard- und Notebook-Hersteller angewiesen. Ein AGESA-Update (AMD Generic Encapsulated Software Architecture) muss in ein neues BIOS gepackt und installiert werden. Auf Seiten der Desktop-Mainboards gibt es aktuell ohnehin eine Welle neuer BIOS-Updates und hier kann AMD die Lücke auch recht einfach schließen. Bei den Notebooks wird dies schon um einiges komplizierter.

AMD zur Sicherheitslücke:

"AMD is aware of new research related to a potential vulnerability in AMD software technology supplied to motherboard manufacturers for use in their Unified Extensible Firmware Interface (UEFI) infrastructure and plans to complete delivery of updated versions designed to mitigate the issue by the end of June 2020.

The targeted attack described in the research requires privileged physical or administrative access to a system based on select AMD notebook or embedded processors. If this level of access is acquired, an attacker could potentially manipulate the AMD Generic Encapsulated Software Architecture (AGESA) to execute arbitrary code undetected by the operating system.

AMD believes this only impacts certain client and embedded APU processors launched between 2016 and 2019. AMD has delivered the majority of the updated versions of AGESA to our motherboard partners and plans to deliver the remaining versions by the end of June 2020. AMD recommends following the security best practice of keeping devices up-to-date with the latest patches. End users with questions about whether their system is running on these latest versions should contact their motherboard or original equipment/system manufacturer.

We thank Danny Odler for his ongoing security research."