Gerade weil AMD keine Zeit gelassen wurde, um überhaupt auf diese Lücken reagieren zu können, wurde kein PoC veröffentlicht. Dieser wurde nur AMD und anderen betroffenen Firmen übermittelt.
Dann sind wir uns ja einig!
Das war eigentlich mein einziger Punkt.
Ja toll, pick dir genau den Part heraus, welcher genau mit deiner Aussage konform war. Es ging aber mehr darum, dass nur weil man für eine Sicherheitslücke Rootrechte benötigt, um diese nutzen zu können, man diese deshalb nicht unterschätzen sollte. Das Besondere an diesen (von CTS gefundenen) Lücken ist, dass sie sich in der PSP einnisten und daher vom System und anderer Software schwer bis gar nicht entdecken lassen und unabhängig von dem System sind. Daher wird man diese durch eine einfache Neuinstallation des Systems sehr wahrscheinlich auch nicht los, sondern nur durch ein Flash einer sauberen Firmware.
Aber du hast ja eingesehen, dass du etwas überreagiert hast.
Da aber sogut wie jede der 13 Lücken auf den ASMedia Chip zurückzuführen ist, warum wurde nicht diese Firma kontaktiert bzw. werden auch Intel Produkte (Mainboards etc.) mit Chips der Firma ausgerüstet... komischerweise wurde Intel NIE erwähnt
Sogar ganz andere Firmen (u.a. wurde auch Microsoft erwähnt) nutzen diese Chips von AS Media, komischerweise heißt die Webseite aber nicht ASMediaflaws sondern AMDflaws
Könnte daran liegen, dass AMD für deren Chipsätze ziemlich stark mit Asmedia zusammenarbeitet: AMD and Asmedia sign chipset development outsourcing deal – report | KitGuru
Der Unterschied zwischen Intel und AMD bei der ganzen Geschichte hier ist, dass die problematischen Chips (ASM1042, ASM1042A, ASM1142 und ASM1143) von Asmedia bei AMD fest in den Chipsätzen integriert sind und bei Intel nicht. Bei Mainboards mit Intel Chipsatz werden Asmedia Chips nur als Zusatzchips hinzugefügt und daher sind diese nicht auf allen Boards präsent. Aber auch bei Intel sind die Boards, welche die problematischen Chips enthalten, womöglich betroffen.
https://www.heise.de/security/meldung/Hintertueren-in-USB-Controllern-auch-in-Intel-Systemen-vermutet-3996868.html (Ich weiß, dass Heise nicht gerade deine Lieblingsquelle ist
) Nach genauerer Recherche möchte ich meine Aussage revidieren. Es hört sich doch nicht nach AsmediaFlaws an, wie zu vor von mir fälschlicherweise angenommen, da nur eine Lücke auf Asmedia (und zwar Chimera) zurückzuführen ist und die restlichen 3 auf die PSP von AMD.
Ehrlich gesagt war es mit dem ernst sein nach dieser haltlosen Unterstellung vorbei: anscheinend will keiner von euch (Holt, Paddy) Wettbewerb, warum das wohl so ist. Du machst es dir hier einfach und denunzierst den Widerspruch einfach, indem du es wieder auf diese Fanboy-Schiene ziehst.
Du musst kein Sicherheitsexperte sein, um Sicherheitslücken zu entdecken. Manchmal reicht es einfach schon den Code von anderen Leuten nur etwas zu hinterfragen, dann findet man auch solche Lücken übrig gebliebenen Debugging-Funktionalität.
Es gibt sogar Leute, die lassen sich beim Debugging und Testen Eingaben wie Username und Passwort in Plaintext in den Log schreiben und vergessen dann diesen Part beim Release zu entfernen...
Stimme ich zu.
Ich würde es begrüßen, wenn man diese beiden eingebauten Backdoors (namentlich Intel ME und AMD PSP) vollständig deaktivieren könnte.
Zuletzt bearbeitet:
)
