EPYC, Ryzen und Ultrascale: AMD meldet zahlreiche Sicherheitslücken

[HWL News Bot]

AMD vermeldet vier Sicherheitslücken, die in allen Produktgruppen auftreten können, aber nicht alle Prozessmodelle zugleich betreffen. Allesamt sind die Sicherheitslücken (CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 und CVE-2023-20587) mit dem Scheregrad "Hoch" beschrieben.
... weiterlesen

 

[_roman_]

Vermutlich fehlt ein w im Wort Schweregrad

AMD vermeldet vier Sicherheitslücken, die in allen Produktgruppen auftreten können, aber nicht alle Prozessmodelle zugleich betreffen. Allesamt sind die Sicherheitslücken (CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 und CVE-2023-20587) mit dem Scheregrad "Hoch" beschrieben.

Dann werde ich mir mal die CVE suchen.

Das erste Ergebnis mit einigen Details: https://securityonline.info/high-alert-amd-processors-hit-by-multiple-security-flaws/

Zitat:

CVE	Severity	CVE Description
CVE-2023-20576	High	Insufficient Verification of Data Authenticity in AGESA™ may allow an attacker to update SPI ROM data potentially resulting in denial of service or privilege escalation.
CVE-2023-20577	High	A heap overflow in the SMM module may allow an attacker with access to a second vulnerability that enables writing to SPI flash, potentially resulting in arbitrary code execution.
CVE-2023-20579	High	Improper Access Control in the AMD SPI protection feature may allow a user with Ring0 (kernel mode) privileged access to bypass protections potentially resulting in loss of integrity and availability.
CVE-2023-20587	High	Improper Access Control in System Management Mode (SMM) may allow an attacker access to the SPI flash potentially leading to arbitrary code execution.

Wurde scheinbar von dieser Stelle abgeschrieben / Falls es jemand interessiert - hier ist auch die Liste ab welcher AGESA Version es behoben sein sollte: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7009.html

Der Grund warum es vermutlich dieses AGESA gab:
ComboAM5
1.0.8.0
(2023-8-29)

 

[AlsterwasserHH]

Danke das Du die HW Luxx Nachricht um die essenziellen Details erweitert hast @_roman_
Ich versteh zwar bei solchen Meldungen immer nur Bahnhof, hab aber auch keinen AMD.

Erinnert aber an Intel. Gibt ja immer irgendwelche Lücken.

 

[Legalev]

Das heißt also, seit 6 Monaten sind die Fehler behoben, sofern man ein Bios Update gemacht hat.

Bissl spät dann die Nachrichten

 

[Don]

Habe die Meldung noch ergänzt:

Größtenteils dürfte dies schon geschehen sein, denn in seiner Mitteilung nennt AMD die notwendigen Combo-Versionen, welche die Fehler bereits beseitigen. Im Falle der Desktop-Prozessoren für den Sockel AM4 wäre diese das Combo-Update 1.2.0.B/C, bei den AM5-Prozessoren die Version 1.0.8.0. Aktuell liefern die Mainboardhersteller eben diese 1.2.0 für AM4 und 1.1.0.2 für AM5 aus. Mit einem aktuellen BIOS ist man hier also bereits auf der sicheren Seite.

 

[_roman_]

Ich vermute das SPI Rom / Flash wird der Bios Flash Chip sein.

Serial Peripheral Interface = SPI

 

[Shutterfly]

Kurze Frage: Welchen journalistischen Mehrwert liefert das inhaltlich falsche, KI-generierte Bild mit den Käfern vor den Servern und wieso ist das Bild da?

 

[reishasser]

Kurze Frage: Welchen journalistischen Mehrwert liefert das inhaltlich falsche, KI-generierte Bild mit den Käfern vor den Servern und wieso ist das Bild da?

Hm evtl bezogen auf Rubrik "Bugs"?

 

[Holt]

Selbst der Sicherheitsprozessor in den AMD CPUs kann also Sicherheitslücken nicht verhindern! Die wird es also immer geben und damit müssen wir leben. Es hilft da nicht mit dem Finger auf einen bestimmten Hersteller zu zeigen, allenfalls auf den, der diese Lücken nicht zeitnah stopft!

 

[pwnbert]

Naja, geschätzt sind doch mehr als die Hälfte der Zero-Day Geschichten im Lastenheft enthalten... *schwurbel schwurbel*

 

[FirstAid]

.. . Es hilft da nicht mit dem Finger auf einen bestimmten Hersteller zu zeigen, allenfalls auf den, der diese Lücken nicht zeitnah stopft!

Also INTEL, die alle Quartale mal Updates veröffentlichen. Als INTEL Influencer tut man sich aber sehr schwer den Namen zu nennen, nicht wahr.