Die Entdeckung von Sicherheitslücken in den AMD-Prozessor-Reihen Ryzen und Epyc hat vor einigen Tagen für Aufruhr gesorgt. Denn die Umstände des Bekanntwerdens der Lecks waren dubios. Ein weitgehend unbekanntes Unternehmen, CTS Labs, präsentierte sie groß auf einer Homepage, hatte AMD selbst aber zuvor nur einen Tag Informationsvorsprung gewährt – ein in Sicherheitskreisen absolut unübliches Vorgehen. Eingebürgert hat sich eine Frist von zumindest 90 Tagen.

Unabhängig von dieser Kontroverse konnten mehrere namhafte Sicherheitsexperten die Lecks und Exploit-Möglichkeiten jedoch nachvollziehen. Über ihre Schwere waren die Meinungen geteilt. Denn Angriffe setzten physischen Zugang zum Computer oder Adminrechte voraus, was das Risiko der Ausnutzung deutlich mindert. Ist die Voraussetzung jedoch gegeben, so ist es allerdings möglich, Malware im Secure Processor zu hinterlegen, wo sie von einem Nutzer kaum bemerkt oder wieder entfernt werden kann, da sie alle Sicherheitsmechanismen des Betriebssystems unterlaufen kann.

AMD selbst hat auf die Veröffentlichung dennoch gelassen reagiert und eine Untersuchung der 13 Lücken angekündigt. Nun liegen erste Ergebnisse vor.

Prozessorarchitektur nicht betroffen, auch "Chimera" behebbar

Wenig überraschend verweist man ebenfalls darauf, dass eine Ausnutzung Schwachstellen Admin-Rechte voraussetzt, um das eingeschänkte Ausnutzungspotenzial zu betonen. Ebenso gibt man an, dass die Probleme nicht die Prozessorachitektur an sich betrifft, sondern bestimmte Komponenten und ihre Firmware.

Dementsprechend sollen die Schwachstellen durch Firmware-Aktualisierungen und BIOS-Updates behoben werden, die von den jeweiligen Herstellern ausgeliefert werden sollen. Eine Aktualisierung des Prozessor-Microcodes ist nicht erforderlich. Damit widerspricht man CTS Labs, wo man erklärt hatte, dass einer der Fehler, "Chimera" getauft, hardwareseitig verankert und demnach unbehebbar sei.

Keine Leistungseinbußen erwartet

Während die Behebung der "Spectre"-Schwachstellen bei Intel-CPUs zu unterschiedlich starken Performanceeinbrüchen führt, erwartet man hier keinerlei Leistungseinbußen. Als Zeitrahmen für die Bereitstellung der Fixes nennt man "binnen Wochen". Spätestens innerhalb von 90 Tagen sollen sämtliche Lücken behoben sein. (red, 21.03.2018)