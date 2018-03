Kontroverse um AMD-CPU-Löcher ausgebrochen

Gründe zur Skepsis

Und Gründe, sich nicht in Sicherheit zu wiegen

Die von einem israelischen Security-Unternehmen namens CTS Labs bekannt gemachten Sicherheitsprobleme in AMD-CPUs , über die wir bereits gestern kurz berichtet haben , sorgen für grosse Meinungsverschiedenheiten in der Security-Szene. Diese spiegeln sich auch in der Berichterstattung von IT-Medien wieder. 'Golem.de ' beispielsweise stuft die Informationen schlicht als "Quatsch" ein. 'Admin' findet das Vorgehen von CTS Labs "dubios". 'Bleepingcomputer' berichtet dagegen neutral, während 'Ars Technica' die Sache recht ernst nimmt.Grund zur Skepsis hat CTS-Labs sicher genug geliefert. Zum Beispiel hat man früher noch nie von diesem Unternehmen gehört. Zuvorderst ist aber sicher die Tatsache, dass es AMD anscheinend nur gerade einen Tag vor der Veröffentlichung über die von ihnen gefundenen 13 Sicherheitslöcher in den CPUs EPYC, Ryzen, Ryzen Pro und Ryzen Mobile informiert haben. Logischerweise hat der Chiphersteller deshalb noch keine Patches parat. Auch wurde bisher von AMD noch nicht bestätigt, ob die Sicherheitslöcher überhaupt real sind.In ihrem Bericht schreiben die Verfasser des Weiteren, dass sie darin nach bestem Wissen und Gewissen gefasste "Meinungen" präsentieren würden, und keine "Fakten". Und ausserdem haben die Israelis noch einen seltsamen Disclaimer in ihre Meldung eingebaut: Man habe vielleicht, direkt oder indirekt, ein wirtschaftliches Interesse daran, wie sich der Kurs der AMD-Aktien entwickle. Ein Disclaimer in einem Security-Advisory ist an sich schon ungewöhnlich, und der Inhalt macht einen natürlich skeptisch. Zudem ein anderes Unternehmen gleichzeitig mit einem Versuch aufgefallen ist, den Kurs der AMD-Aktien zu drücken. Gegenüber 'Cnet' hat CTS-Labs aber mittlerweile erklärt, dass man keine Aktien von AMD oder Intel besitze.'Ars Technica' stützt seine Meinung, dass man die Sicherheitslücken nicht ignorieren sollte, auf Aussagen des Security-Experten Dan Guido, Chef eines Sicherheitsunternehmens namens Trail of Bits. Dieser wurde anscheinend von CTS-Labs schon vor einiger Zeit kontaktiert und hat von den Israelis Informationen zu den Sicherheitslöchern sowie Proof-of-Concept-Code für Exploits erhalten, um ihre Behauptungen zu prüfen. Laut Guido sind die Bugs real und die Exploits funktionieren.Wenn das stimmt, dürfte die Lücke die schwerwiegendste sein, die es Angreifern erlauben könnte, eigene Malware in AMDs Security-Co-Prozessor einzuschleusen. Dort wären sie fast unentdeckbar und könnte beispielsweise für Spionagezwecke verwendet werden.CTS-Labs-Kritiker finden allerdings, dass die Gefährlichkeit dieser und der anderen von den Israelis beschriebenen Sicherheitslücken gering sei, weil man Root-Access brauche, um sie auszunützen. Gadi Yevron wiederum, Gründer und CEO des Security-Unternehmens Cymmetria, hält dem entgegen, dass Hacker sie trotzdem auch ohne physischen Zugang zu einem System nutzen könnten. (hjm)