Werbung
Zahlreiche AMD-Systeme sind von der Sinkclose-Sicherheitslücke betroffen, die bereits seit dem Jahr 2006 existieren soll und im vergangenen Jahr an AMD übermittelt wurde. Publik wurde diese Sicherheitslücke letzten Monat, um AMD genügend Zeit zu geben, um diese als hoch eingestufte Sicherheitslücke mit der registrierten Nummer CVE-2023-31315 zu schließen. Stand jetzt gibt es für die zahlreichen AMD-Systeme entsprechende AGESA-Updates, die diese Sicherheitslücke schließt. Betroffene Anwender sollten daher zeitnah das BIOS-Update mit der aktualisierten AGESA-Version installieren. In dieser News sorgen wir für eine bessere Übersicht über die betroffenen Prozessoren und die AGESA-Versionen.
Zunächst einmal wollen wir auf die Sinkclose-Sicherheitslücke eingehen. Im Kern geht es darum, dass ein Angreifer über den SMM (System Management Mode) im Prozessor selbst schadhaften Code ausführt, der das System dauerhaft infiziert, sprich eine Bereinigung ist nicht möglich und ist daher unumkehrbar. Über den SMM werden wichtige Parameter des Prozessors gesteuert, der für das Betriebssystem selbst unsichtbar ist und für die Steuerung von Input- und Output-Befehlen, diverse Systembefehle und auch für das Energie-Management zuständig ist. Sowohl AMD- als auch Intel-Prozessoren arbeiten mit dem SMM, wobei die Intel-Prozessoren von dieser Lücke nicht betroffen sind.
Damit ein Angreifer diese tückische Sicherheitslücke ausnutzen kann, muss das betreffende AMD-System bereits derart kompromittiert sein, sodass der Angreifer Zugriff mit höchsten Privilegien im Kernel-Modus (Ring 0) des Betriebssystems erhält. Oberhalb des Kernel-Modes befindet sich dann der Hypervisor-Mode (Ring -1) und darüber geht der SMM mit Ring -2 ans Werk.
Stehen diese Privilegien auf grün, kann der Angreifer schadhaften Code in den SMM einschleusen. Dies können Root-Kits oder auch Spyware sein. Das Problem an der Sache ist, dass ein kompletter BIOS-Reset mittels Clear-CMOS oder auch die Neuinstallation des Betriebssystems keine Abhilfe schaffen. Dieser schadhafte Code ist dauerhaft existent, was demnach bedeutet, dass der betroffene Anwender den Unterbau entsorgen kann beziehungsweise sollte. Und selbst wenn das System bereits infiziert ist, gibt es keine Möglichkeit, dies zu überprüfen.
AMD selbst hat zu dieser Lücke ein Security-Bulletin veröffentlicht.
Die betroffenen Plattformen und AGESA-Versionen für den Fix
Anhand der unten befindlichen Tabelle wird deutlich, dass alle AMD-Prozessoren ab Zen(1) bis hoch zu Zen4(c) von dieser Sicherheitslücke betroffen sind. Einzig die brandneuen Ryzen-9000-Prozessoren für den Sockel AM5 mit der Zen-5-Architektur sind gegen diese Lücke bereits ab Werk immun.
| Epyc 7001 | Naples | Zen | SP3 (LGA4094) | NaplesPI 1.0.0.M |
| Epyc 7002 | Rome | Zen 2 | SP3 (LGA4094) | RomePI 1.0.0.J |
| Epyc 7003 | Milan(-X) | Zen 3 | SP3 (LGA4094) | MilanPI 1.0.0.D |
| Epyc 8004 | Siena | Zen 4c | SP5 (LGA6096) | GenoaPI 1.0.0.C |
| Epyc 9004 | Genoa(-X), Bergamo | Zen 4(c) | SP5 (LGA6096) | GenoaPI 1.0.0.C |
| Epyc 4004 | Raphael(-X) | Zen 4 | AM5 (LGA1718) | ComboAM5PI 1.2.0.1 (?) |
| Ryzen 1000 | Summit Ridge | Zen | AM4 (PGA1331) | kein Fix geplant |
| Ryzen 2000G | Raven Ridge | Zen | AM4 (PGA1331) | kein Fix geplant |
| Ryzen 2000 | Pinnacle Ridge | Zen+ | AM4 (PGA1331) | kein Fix geplant |
| Ryzen 3000G | Picasso | Zen+ | AM4 (PGA1331) | kein Fix geplant |
| Ryzen 3000 | Matisse | Zen 2 | AM4 (PGA1331) | ComboAM4v2PI 1.2.0.Cc |
| Ryzen 4000(G) | Renoir(-X) | Zen 2 | AM4 (PGA1331) | ComboAM4v2PI 1.2.0.Cb |
| Ryzen 5000(G) | Vermeer(-X), Cezanne | Zen 3 | AM4 (PGA1331) | ComboAM4v2PI 1.2.0.Cb |
| Ryzen 7000 | Raphael(-X) | Zen 4 | AM5 (LGA1718) | ComboAM5PI 1.2.0.1 |
| Ryzen 8000(G) | Phoenix | Zen 4(c) | AM5 (LGA1718) | ComboAM5PI 1.2.0.1 |
| Ryzen Threadripper 1000 | Whitehaven | Zen | TR4 (LGA4094) | kein Fix geplant |
| Ryzen Threadripper 2000 | Colfax | Zen+ | TR4 (LGA4094) | kein Fix geplant |
| Ryzen Threadripper (Pro) 3000 | Castle Peak | Zen 2 | sTRX4/sWRX8 (LGA4094) | CastlePeakPI-SP3r3 1.0.0.B CastlePeakWSPI-sWRX81.0.0.D (Pro) |
| Ryzen Threadripper Pro 5000 | Chagall | Zen 3 | sWRX8 (LGA4094) | ChagallWSPI-sWRX8 1.0.0.8 |
| Ryzen Threadripper (Pro) 7000 | Storm Peak | Zen 4 | sTR5 (LGA4844) | StormPeakPI-SP6 1.0.0.1h |
| Ryzen 3000 | Picasso | Zen+ | FP5 (BGA) | Picasso-FP5 1.0.1.2 |
| Ryzen 4000 | Renoir | Zen 2 | FP6 (BGA) | RenoirPI-FP6 1.0.0.E |
| Ryzen 5000 | Lucienne, Cezanne, Barcelo | Zen 3 | FP6 (BGA) | CezannePI-FP6 1.0.1.1 |
| Ryzen 6000 | Rembrandt | Zen 3+ | FP7 (BGA) | RembrandtPI-FP7 1.0.0.B |
| Ryzen 7020 | Mendocino | Zen 2 | FT6 (BGA) | MendocinoPI-FT6 1.0.0.7 |
| Ryzen 7035 | Rembrandt-R | Zen 3+ | FP7 (BGA) | RembrandtPI-FP7 1.0.0.B |
| Ryzen 7040 | Phoenix, Hawk Point | Zen 4(c) | FP8 (BGA) | PhoenixPI-FP8-FP7 1.1.0.3 |
| Ryzen 7045 | Dragon Range | Zen 4(c) | FL1 (BGA) | DragonRangeFL1 1.0.0.3e |
Zunächst hatte auf die Mainstream-Desktop-Plattform bezogen AMD erst ab Ryzen 4000(G) einen Fix für die Sinkclose-Sicherheitslücke eingeplant und die Ryzen-3000-Prozessoren (Matisse, Zen 2) sollten außen vor bleiben. Nachdem es jedoch zahlreiche, berechtigte Kritik gegen AMD hagelte, lenkte das Unternehmen ein und versorgt auch für diese Serie einen Fix. Ryzen 1000 (Summit Ridge, (Zen (1)) und Ryzen 2000 (Pinnacle Ridge, Zen+) bleiben jedoch außen vor und erhalten kein Update. Dies schließt die Ryzen-Threadripper-Versionen sowie Ryzen 2000G (Raven Ridge, Zen) und Ryzen 3000G (Picasso, Zen+) mit ein. Ergo gibt es im Desktop-Segment ab der Zen-2-Architektur ein Update gegen Sinkclose.
Bei der Server-Plattform werden alle Versionen ab Zen mit einem Update versehen. Doch auch die vielen Mobile-Ableger für Notebooks erhalten ein AGESA-Update beziehungsweise AMD hat diese Plattformen berücksichtigt. Die jeweilige AGESA-Version, die die Sinkclose-Sicherheitslücke schließt, haben wir mit in die übersichtliche Tabelle mit aufgenommen.
OEMs müssen BIOS-Updates bereitstellen
AMD liefert die AGESA-Updates bekanntlich nicht direkt zu den Endkunden, sondern zu den jeweiligen OEMs. Dies bedeutet demnach, dass die betroffenen Anwender auf die OEMs selbst angewiesen sind, um überhaupt an das wichtige BIOS-Update mit der entsprechenden AGESA-Version zu gelangen. Gerade in (großen) Unternehmen stellt dieses BIOS-Update eine sehr hohe Priorität dar.
Speziell für die AM5-Plattform, die auch auf unserer Webpräsenz von großer Bedeutung ist, gibt es ein sehr nützliches Google-Online-Dokument von unserem Community-Mitglied Reous, das übersichtlich die einzelnen AGESA-Versionen anzeigt und für die vier renommierten Mainboard-Hersteller die jeweiligen BIOS-Dateien als Verlinkung aufzeigen und bereitstellen. ASUS beispielsweise hat für die X670(E)- und B650(E)-Mainboards bereits finale BIOS-Versionen mit AGESA 1.2.0.1a auf ihrem Server.
Von ASRock gibt es noch nicht einmal Beta- oder Test-Versionen, Gigabyte ist bereits in der zweiten Beta-Welle drin und MSI bietet für alle AM5-Mainboards ein Beta-BIOS mit AGESA 1.2.0.1 an. Jedem Anwender sei angeraten, sobald spätestens ein finales BIOS-Update mit AGESA 1.2.0.1 oder höher angeboten wird, dies zu installieren. Dies gilt jedoch für alle AMD-Plattformen hinweg mit dem jeweiligen AGESA-Update.