Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Ryzenfall: AMD-CPU angeblich unsicher, behauptet eine umstrittene Sicherheitsfirma

Ryzen-Chip von AMD. (Foto: Akura Yochi/Shutterstock.com)

Eine bisher unbekannte israelische Firma hat angeblich dreizehn schwerwiegende Sicherheitslücken in AMD-CPU entdeckt. Doch den Sicherheitsforschern schlägt heftiger Gegenwind entgegen.

Die mehr als 20 Jahre unentdeckt gebliebenen Chip-Sicherheitsprobleme, die als Spectre und Meltdown bekannt geworden sind, haben die Computer-Industrie erschüttert. Jetzt will eine bisher unbekannte israelische Sicherheitsfirma dreizehn ähnlich schwerwiegende Lücken in den Ryzen- und Epyc-Chips von AMD entdeckt haben. Doch die Entdeckung der Sicherheitsforscher sowie ihre Vorgehensweise bei der Veröffentlichung am Dienstag werden hart kritisiert.

Sicherheitslücken in AMD-Chips – nur heiße Luft oder echte Bedrohung?

Für AMD wäre es eine Katastrophe, sollten sich die von der Sicherheitsfirma CTS-Labs entdeckten Lücken in den aktuellen Modellreihen Ryzen und Epyc als so problematisch herausstellen, wie es den Anschein hat. Demnach könnten die Lücken, die CTS-Labs in die vier Gruppen Ryzenfall, Masterkey, Fallout und Chimera eingeteilt hat, Angreifern den Zugriff auf vertrauliche Daten erleichtern und das Ausführen von Schadcode möglich machen, wie Cnet.com berichtet.

Ryzen-CPU von AMD sollen unsicher sein, behaupten zumindest Sicherheitsforscher. Aber die Zweifel an der Enthüllung sind riesig. (Bild: AMD)

Nur wenige Stunden nach der Enthüllung wurde aber teils heftige Kritik an den Ergebnissen und der Methodik laut. So ist es mindestens ungewöhnlich, dass CTS-Labs AMD erst 24 Stunden vor der Veröffentlichung über die Sicherheitslücken informiert hat. Normalerweise geben Sicherheitsforscher den betroffenen Unternehmen 90 Tage Zeit. AMD blieb daher nichts weiter übrig, als zu versichern, dass der Konzern den Bericht genau unter die Lupe nehmen werde.

Ebenfalls auffällig ist die mediale Aufbereitung der Sicherheitslücken auf einer eigens eingerichteten Webseite, statt der üblichen Veröffentlichung einer Mitteilung inklusive weiterführenden Links. Auf Amdflaws.com finden sich Videos, jede Menge übersichtliche Grafiken und Informationshäppchen sowie ein Whitepaper – perfektes Futter für Journalisten und Tech-Blogger.

Kritisiert wird vor allem der Mangel an technischen Details in der Publikation. Golem.de etwa schreibt: „So wird in der gesamten Dokumentation keine einzige von MITRE vergebene CVE-Nummer erwähnt“. Auch Beweise für konkrete Angriffe bleiben die Sicherheitsforscher schuldig. Allem Anschein nach müssen Angreifer schon Rootrechte haben, um etwa einen erfolgreichen Angriff per Ryzenfall durchzuführen. Bemängelt wird zudem, dass es nur wenige Informationen über CTS-Labs und dessen Mitarbeiter gibt.

Mögliche Short-Attacke auf AMD-Aktie?

Auch könnte es laut Golem.de zu einer möglichen Short-Attacke einer schon berüchtigten Analysefirma auf die AMD-Aktie gekommen sein. Die Firma Viceroy Research hat am Dienstag kurz nach dem Bekanntwerden der angeblichen Sicherheitslücken einen Abgesang auf AMD veröffentlicht, in dem ein Aktienpreis von 0,00 US-Dollar als gerechtfertigt und eine baldige Pleite des Chipherstellers in Aussicht gestellt wird. Viceroy Research hat aber erst vor am Montag wegen einer Verkaufsempfehlung zu Pro-Sieben-Sat.1-Media eine Warnung der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) kassiert. Der Kurs der AMD-Aktie ist am Dienstagnachmittag zwar um drei Prozent gefallen, nachbörslich zeigte sich das Papier aber stabil.

Aber zurück zu den technischen Details: Dan Guido, Gründer der Sicherheitsfirma Trail of Bits, dessen Mitarbeiter die Sicherheitslücken schon vor einigen Tagen untersucht haben, hat per Twitter beteuert: „Die Bugs sind echt, akkurat in einem technischen Bericht beschrieben und ihr Exploit-Code funktioniert“. Der umfangreiche Bericht, in dem die Fehler aufgelistet sein sollen, ist aber der Öffentlichkeit nicht zugänglich.

Aufregung um angeblich unsichere AMD-Chips: Ruhe bewahren

Was also bleibt von der ganzen Aufregung um das angebliche Spectre-ähnliche Sicherheitsproblem von AMD: Die Sicherheitslücken sind offenbar vorhanden, aber wahrscheinlich weniger schwerwiegend als von den Sicherheitsforschern nahegelegt. Die Methoden von CTS-Labs sind zweifelhaft, insbesondere die späte Verständigung des betroffenen Chipkonzerns. Ob und wie Nutzer von Notebooks oder Servern mit AMD-CPU reagieren sollen, werden die nächsten Tage und Woche zeigen.

Mehr Klarheit dürfte die bisher noch ausstehende Einschätzung von AMD – das von der Enthüllung offenbar überrumpelt wurde – bringen. Außerdem werden weitere Sicherheitsforscher die angeblichen Lücken genauer unter die Lupe nehmen. Bis dahin heißt es erst einmal, Ruhe zu bewahren.

Mehr zum Thema:

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.