EPYC, Ryzen und Ultrascale: AMD meldet zahlreiche Sicherheitslücken

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.972
AMD vermeldet vier Sicherheitslücken, die in allen Produktgruppen auftreten können, aber nicht alle Prozessmodelle zugleich betreffen. Allesamt sind die Sicherheitslücken (CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 und CVE-2023-20587) mit dem Scheregrad "Hoch" beschrieben.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vermutlich fehlt ein w im Wort Schweregrad

AMD vermeldet vier Sicherheitslücken, die in allen Produktgruppen auftreten können, aber nicht alle Prozessmodelle zugleich betreffen. Allesamt sind die Sicherheitslücken (CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 und CVE-2023-20587) mit dem Scheregrad "Hoch" beschrieben.

Dann werde ich mir mal die CVE suchen.

Das erste Ergebnis mit einigen Details: https://securityonline.info/high-alert-amd-processors-hit-by-multiple-security-flaws/

Zitat:

CVESeverityCVE Description
CVE-2023-20576HighInsufficient Verification of Data Authenticity in AGESA™ may allow an attacker to update SPI ROM data potentially resulting in denial of service or privilege escalation.
CVE-2023-20577HighA heap overflow in the SMM module may allow an attacker with access to a second vulnerability that enables writing to SPI flash, potentially resulting in arbitrary code execution.
CVE-2023-20579HighImproper Access Control in the AMD SPI protection feature may allow a user with Ring0 (kernel mode) privileged access to bypass protections potentially resulting in loss of integrity and availability.
CVE-2023-20587HighImproper Access Control in System Management Mode (SMM) may allow an attacker access to the SPI flash potentially leading to arbitrary code execution.

Wurde scheinbar von dieser Stelle abgeschrieben / Falls es jemand interessiert - hier ist auch die Liste ab welcher AGESA Version es behoben sein sollte: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7009.html

Der Grund warum es vermutlich dieses AGESA gab:
ComboAM5
1.0.8.0
(2023-8-29)
 
Zuletzt bearbeitet:
Danke das Du die HW Luxx Nachricht um die essenziellen Details erweitert hast @_roman_
Ich versteh zwar bei solchen Meldungen immer nur Bahnhof, hab aber auch keinen AMD.

Erinnert aber an Intel. Gibt ja immer irgendwelche Lücken.
 
Das heißt also, seit 6 Monaten sind die Fehler behoben, sofern man ein Bios Update gemacht hat.

Bissl spät dann die Nachrichten
 
Habe die Meldung noch ergänzt:

Größtenteils dürfte dies schon geschehen sein, denn in seiner Mitteilung nennt AMD die notwendigen Combo-Versionen, welche die Fehler bereits beseitigen. Im Falle der Desktop-Prozessoren für den Sockel AM4 wäre diese das Combo-Update 1.2.0.B/C, bei den AM5-Prozessoren die Version 1.0.8.0. Aktuell liefern die Mainboardhersteller eben diese 1.2.0 für AM4 und 1.1.0.2 für AM5 aus. Mit einem aktuellen BIOS ist man hier also bereits auf der sicheren Seite.
 
Ich vermute das SPI Rom / Flash wird der Bios Flash Chip sein.

Serial Peripheral Interface = SPI
 
Kurze Frage: Welchen journalistischen Mehrwert liefert das inhaltlich falsche, KI-generierte Bild mit den Käfern vor den Servern und wieso ist das Bild da? :fresse2:
 
Selbst der Sicherheitsprozessor in den AMD CPUs kann also Sicherheitslücken nicht verhindern! Die wird es also immer geben und damit müssen wir leben. Es hilft da nicht mit dem Finger auf einen bestimmten Hersteller zu zeigen, allenfalls auf den, der diese Lücken nicht zeitnah stopft!
 
Naja, geschätzt sind doch mehr als die Hälfte der Zero-Day Geschichten im Lastenheft enthalten... *schwurbel schwurbel* :d
 
.. . Es hilft da nicht mit dem Finger auf einen bestimmten Hersteller zu zeigen, allenfalls auf den, der diese Lücken nicht zeitnah stopft!
Also INTEL, die alle Quartale mal Updates veröffentlichen. Als INTEL Influencer tut man sich aber sehr schwer den Namen zu nennen, nicht wahr.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh