Google hat gestern einen Beitrag veröffentlicht, der die Schwachstellen in den Intel-CPUs der 6.-11. Generation unter dem Namen Downfall (CVE-2022-40982) und AMD Zen2 unter dem Namen Zenbleed (CVE-2023-20593) beschreibt. Nachdem das Team diese Lücken gefunden hatte, wurden alle betroffenen Firmen gleich informiert.
„Downfall, von dem Intel-CPUs betroffen sind, nutzt die spekulative Weiterleitung von Daten aus der SIMD-Anweisung Gather aus. Der Gather-Befehl hilft der Software, schnell auf verteilte Daten im Speicher zuzugreifen, was für Hochleistungs-Computing-Workloads bei der Datenkodierung und -verarbeitung entscheidend ist. Downfall zeigt, dass dieser Befehl veraltete Daten aus den internen physischen Hardwareregistern an nachfolgende Befehle weiterleitet. Obwohl diese Daten nicht direkt in Softwareregistern offengelegt werden, können sie mit ähnlichen Techniken wie bei Meltdown einfach extrahiert werden.“
„Zenbleed, welches AMD-CPUs betrifft, zeigt, dass eine falsch implementierte spekulative Ausführung der SIMD Zeroupper-Anweisung veraltete Daten aus physischen Hardwareregistern in Softwareregister durchsickern lässt. Zeroupper-Befehle sollten die Daten in der oberen Hälfte von SIMD-Registern (z. B. 256-Bit-Register YMM) löschen, was bei Zen2-Prozessoren einfach durch Setzen eines Flags geschieht, das die obere Hälfte des Registers als Null markiert…Ähnlich wie bei Downfall werden durch das Durchsickern veralteter Daten aus physischen Hardwareregistern die Daten anderer Benutzer, die denselben CPU-Kern und dessen interne physische Register nutzen, offengelegt.“
Auf der BlackHat wird heute über diese Sicherheitslücken gesprochen. Intel hat dies im intel-sa-00828 Beitrag aufgeführt. Welche Intel-CPUs genau betroffen sind, könnt ihr hier nachlesen.
Steht neben eurer CPU MCU, dann ist ein Micro Code Update notwendig, welches als Firmwareupdate von eurem Board-Hersteller bereitgestellt wird. Also schaut mal nach, ob es ein aktuelles Bios-Update gibt.
AMD hat diese Lücke hier beschrieben.
[Update 22.08.2023]: Jetzt hat auch Microsoft dazu einen Beitrag verfasst. Siehe hier:
Bei meinem Prozessor steht MCU, aber es ist keins verfügbar. Was nun?
Warten.
Oder es wurde schon veröffentlicht.
Zenbleed
We have confirmed this bug is reproducible on at least the following SKUs:
AMD Ryzen Threadripper PRO 3945WX 12-Cores
AMD Ryzen 7 PRO 4750GE with Radeon Graphics
AMD Ryzen 7 5700U
AMD EPYC 7B12
In general, we believe all Zen 2 processors are affected, including „Rome“ server-class processors with the latest microcode patchlevel at the time of writing. This flaw is not dependent on any particular operating system, all operating systems are affected.
AMD hat ein Microcode-Update veröffentlicht, durch das eine Hardware-Sicherheitslücke behoben wird. Google hat die erforderlichen Korrekturen für diese Sicherheitslücke auf seine Serverflotte angewendet, einschließlich der Server für die Google Cloud Platform. Tests zeigen, dass dies keine Auswirkungen auf die Leistung von Systemen hat.
Bei deinem Mainboard Hersteller nachfragen wann sie ein neues Bios heraus bringen mit dem neuen Microcode Update.
Kein Wort zu den Intels der 4. und 5. Generation? Mein Lenovo X240 läuft immer noch wie geschmiert- mit LTE-Mobilfunk für unterwegs… Es wäre traurig, so ein Gerät nach kaum 10 Jahren zu entsorgen- nur weil Sicherheitslücken nicht mehr gepatcht werden. Immer das selbe, alte Lied.
Stimmt, die 4. und 5. Generation wird totgeschwiegen, obwohl die lt. Intel-Liste auch betroffen ist (ab Haswell).
Und lt. Intel-Liste betrifft es auch die ARM-Prozessoren.
Auch das wird totgeschwiegen.
Ich glaube aber nicht so recht daran, das es für die CPUs der 4. und 5. Generation noch Updates geben wird.
Dazu sind die zu alt (ab 2013).
well.. win 11 machts möglich
windows 11: hardwareentsorgung über die softwareebene.
nuja… mein ryzen steht nicht in der list…puh…
ist aber eh ein thoretischer ansatz… weil der computer sofort anfangen würde zu „stottern“… was jeder bemerken würde.
man sollte sich nicht verrückt machen…. wobei: ist „made in usa“ und vieleicht so gewollt?
seit „patriots act“ muß man us firmen grundsätzlich mißtrauen.
Also der ryzer 7 mobiel 7730u also nicht? Sorry
CT 09.08.2023 16:23 Uhr, Security Beitrag von Mark Mantel
AMD vs. Intel stellen für zahlreichen Prozessoren Microcode- und Firmware-Updates bereit die gegen die neu entdeckte Sicherheitslücken helfen sollen.
Die Angriffe stützen sich auf Spectre und Meltdown, sie umgehen die bisherige Sicherheits Patches. Laut CT sind sie primär für Betreiber von Cloud-Rechenzentren relevant. Dort auf den Servern wo unterschiedliche Kunden ihre Software parallel laufen lassen. „Wie beschrieben sind vergleichbare Angriffe auf Desktop-PCs und Notebooks zwar möglich, aber realitätsfern.“ Denn laut CT kommt man dort anders sehr viel leichter per Direktzugang an die Daten.
Glaubt einer der Leser das bei den Millionen von Transistoren, Schaltungen, auf heutigen Prozessoren es möglich ist diese ohne Fehler zu produzieren?
Hier stellt sich eher die Frage ob die gefundenen Fehler für uns daheim, bzw. an einem Arbeitsplatzrechner wirklich relevant sind?
Bleibt cool…!!!
Ach Firmen oki da wäre ich auch Vorsichtig, aber sonst.
Das ist den viel schlimmer mit einem XP, vista ins Netz. Lach
Auch wenn es noch Zen2-Modelle bei den mobilen 7000ern-Chips gibt, bleibe ich mit dem 7840HS anscheinend verschont. Glück gehabt!
Wenn ich solche News lese, werde ich manchmal mit verknüpften anderen News den Eindruck nicht los, dass ein Problem das andere lösen soll.
So liest man in letzter Zeit immer wieder, der PC Markt ist in einem Tiefpunkt, es verkaufen sich keine PC’s mehr…
…huch wir haben eine CPU-Sicherheitslücke….
…kauft am besten einen neuen PC, da Eure gekaufte CPU nun bis zu 50% Leistungseinbußen haben kann und zudem unsicher ist…
…am besten gleich neu kaufen!
Komisch, werde ich entschädigt, dass meine CPU nun ggf. 50% weniger Leistung bringt als mir beim Kauf zugestanden wurde!? Naja man kann es auch rumdrehen, warum soll man Ansprüche haben, wenn man gegen die Weltmächte am PC Markt (Intel/AMD) eh keine Chance hat, dann kauft man halt neu um in 1-2 Jahren wieder eine Sicherheitslücke in den Generationen 13/14/15/16/17 festzustellen.
Ist natürlich auch eine Verkaufsmasche, wenn es mit dem PC-Markt nicht mehr fluppt.
Meine Meinung (und ja, für alle die gleich wieder schreien, neun Ottonormalverbraucher wird von den Lücken ggf. nichts mitbekommen und auch nicht neu kaufen, was die Situation mit einer „Sicherheitslücke“ nicht besser macht).