Insgesamt zwölf kritische Lücken will der Sicherheitsdienstleister CTS Labs in aktuellen AMD-Prozessoren gefunden haben. Eine Behauptung, die so manchen Beobachter dazu bewegt hat, Analogien zu den vor einigen Monaten öffentlich gewordenen Prozessorlücken Spectre und Meltdown zu ziehen. Doch recht bald nach dem Auftauchen der ersten Berichte wurden Zweifel an dieser Darstellung laut, nun reiht sich Linux-Erfinder Linus Torvalds in die Riege der Kritiker ein – und zwar mit gewohnt deutlichen Worten.

Deftige Worte

"Wann war eigentlich das letzte Mal, dass ihr ein Security Advisory gelesen habt, in dem es praktisch heißt: Wenn Du das BIOS oder den CPU Microcode mit einer bösen Variante austauscht, hast du ein Sicherheitsproblem", schreibt Torvalds in einem Beitrag auf Google+. Er sei schon bisher der Meinung gewesen, dass die gesamte Sicherheitsindustrie korrupt gewesen sei, aber der aktuelle Vorfall sei einfach nur mehr lächerlich. Wer in diesem Feld arbeite, sollte in Zukunft auf seine Visitenkarten den Zusatz "Nein, wirklich, ich bin keine Hure" hinzufügen, rät der an kontroversen Formulierungen nie verlegene Entwickler.

Dabei leugnet Torvalds gar nicht, dass es sich bei den beschriebenen Fehlern tatsächlich um sicherheitsrelevante Probleme handelt, die bereinigt werden sollten. CTS Labs blase diese aber in einer Art auf, die extrem unseriös sei. Wer einen solchen Angriff durchführen will, braucht nämlich vollständigen Administrator / Root-Zugriff auf ein Gerät – und wenn dieser gegeben ist, sei aus einer Sicherheitssicht ohnehin schon alles verloren. Insofern tendiere die reale Signifikanz dieser Fehler denn auch gegen Null.

Aktienkurs?

"Für mich schaut das alles eher nach einer Manipulation des Aktienkurses als nach einem echten Security Advisory aus", stellt Torvalds denn auch einen schweren Vorwurf in den Raum. Dieser ist freilich nicht ganz neu, auch andere Beobachter hatten zuvor bereits ähnliche Vermutungen angestellt. Grund dafür sind mehrere tatsächlich sehr seltsame Begleiterscheinungen zur Veröffentlichung der Lücken.

Da wäre etwa der Umstand, dass ein Unternehmen namens Viceroy Research praktisch gleichzeitig zur Warnung von CTS Labs eine Art Nachruf auf AMD veröffentlicht. Viceroy war in den Vergangenheit bereits mit ähnlichen Aussagen zum deutschen Privatsender ProSieben aufgefallen, womit man sich eine Verwarnung durch die deutsche Finanzaufsicht eingefangen hat. Beobachter hatten damals ebenfalls eine gezielte Manipulation des Aktienkurses vermutet.

Reaktionszeit

Dass Viceroy dermaßen schnell reagiert hat, verblüfft umso mehr, da CTS Labs offenbar vorab niemanden über die Sicherheitslücken informiert hat. Selbst AMD wurde erst einen Tag zuvor in Kenntnis gesetzt – eine in der Branche äußerst ungewöhnliche Vorgehensweise, da die Hersteller üblicherweise Monate vor einer Veröffentlichung informiert werden, um zeitgerecht Sicherheits-Updates liefern zu können.

CTS Labs liefert für diese ungewöhnlich Entscheidung eine reichlich seltsame Argumentation: Angesichts der Schwere der Probleme gehe man davon aus, dass AMD ohnehin bis zu einem Jahr für die Behebung brauchen werde, also könne man gleich alles öffentlich machen anstatt noch ein paar Monate zu warten. In dieses Gesamtbild passt auch, dass CTS Labs zuvor noch nie in Erscheinung getreten ist, die Webseite anonym angemeldet wurde, und es auch sonst praktisch keine Informationen zu der Firma gibt.

Don't Panic!

Für die Nutzer von AMD-Rechnern besteht angesichts der bisher vorliegenden Informationen jedenfalls keinerlei Grund zur Panik. Zwar handelt es sich bei den Lücken um reale Fehler, die AMD mit einem Update beheben sollte, die reale Gefährdung ist aber äußerst gering. Mit Spectre und Meltdown können die aktuellen Lücken jedenfalls nicht einmal ansatzweise verglichen werden. (apo, 15.3.2018)