AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben

66
News Mark Mantel Als bevorzugte Quelle auf Google hinzufügen
AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben
Quelle: PC Games Hardware

Aktuell wird viel Wirbel um die Beschaffenheit von AMDs Zen-basierten Prozessoren gemacht. Die bislang unbekannte Sicherheitsfirma CTS Labs habe 13 "kritische" Sicherheitslücken entdeckt, die sowohl Ryzen- als auch Epyc-CPUs beträfen. Anstatt AMD im Hintergrund jedoch die übliche Vorlaufzeit zum Beheben zu geben, wird das Thema medial ausgeschlachtet. Vorwürfe der Marktmanipulation werden laut.

In Zeiten von Meltdown und Spectre ist die Hardware-Welt empfindlich, was das Thema Sicherheit angeht. Nachdem CTS Labs einen Bericht über 13 angebliche, laut eigenen Aussagen "kritische" Sicherheitslücken in AMDs Zen-basierten Prozessoren veröffentlichte, sprießten daher schnell Meldungen über die potenziellen Gefahren ins Kraut. Inzwischen ist jedoch klar, dass die Geschichte mindestens anrüchig wirkt. Gestern Abend veröffentlichte CTS Labs die Ergebnisse in Form der eigens eingerichteten Webseite amdflaws.com - als Sicherheitsfirma übrigens ohne HTTPS-Protokoll -, scheinbar ohne die üblichen Disclosure-Praktiken beachtet zu haben.

Sicherheitsforscher und Unternehmen haben sich allgemein auf Sperrfristen von 90 Tagen geeinigt, um den Verantwortlichen genügend Zeit zu geben, Sicherheitslücken zu schließen, bevor man damit an die Öffentlichkeit geht. Damit besteht genügend Druck, um die Sicherheitslücken zu schließen, gleichzeitig minimiert man das Risiko, dass die Sicherheitslücken durch Dritte umgehend ausgenutzt werden. AMD merkt in einer Stellungnahme an, dass kein angemessenes Zeitfenster gegeben worden sei. Cnet.com spricht von gerade einmal 24 Stunden Vorlaufzeit. Dafür hatte CTS Labs offensichtlich Zeit, die Webseite amdflaws.com einzurichten und hübsch aufzubereiten. Am 22. Februar wurde die URL anonym registriert. Die angeblichen Sicherheitslücken wurden in vier Klassen aufgeteilt und marketingwirksam benannt: Masterkey, Ryzenfall, Fallout und Chimera. Das Whitepaper lässt jedoch technische Details weitgehend vermissen, Proofs of Concept werden zumindest nicht öffentlich gezeigt.

Fragezeichen hinterlässt derweil der Haftungsausschluss auf amdflaws.com: "Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports". CTS Labs "könnte" demnach wirtschaftliche Interessen für das Veröffentlichen des Berichts haben. Fast gleichzeitig mit dem Online-Gehen von amdflaws.com hat Viceroy Research einen Blog-Beitrag zu den Sicherheitslücken verfasst, laut dem die Wertsteigerung von AMDs Aktie seit der Ankündigung von Zen nicht gerechtfertigt sei und der Kurs auf 0 US-Dollar gehen müsse. Kurios: Viceroy Research warf der Prosiebensat.1-Mediengruppe Anfang März bereits Bilanzfälschung vor und wurde aufgrund der Handhabung von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) abgemahnt.

Auch anderweitig scheint CTS Labs fragwürdige Verbindungen aufzuweisen: Der Chief Financial Officer (CFO), Yaron Luk-Zilberman, wurde auf linkedin.com zwischenzeitlich auch als Mitarbeiter eines kalifornischen Anbieters für Arzneimittel aufgeführt, das ebenfalls CTS Labs heißt. Das Sicherheitsunternehmen CTS Labs hat seinen Sitz hingegen in Tel Aviv, Isreal. Inzwischen wurde das Mitarbeiterprofil auf linkedin.com entfernt. Gamersnexus.com weist zudem auf eine Verbindung zum Finanzberater Ninewells Capital hin. Die angegebenen Rufnummern seien nicht erreichbar oder gar nicht erst vergeben gewesen. Legitimität sollte dem Projekt durch ein Video-Interview mit den Entdeckern gegeben werden. Die Aufnahmen sind allerdings nachgewiesenermaßen vor Greenscreens entstanden: Die gezeigten Büro- und Serverräume stellen schlichtweg nachbearbeitete Stock-Fotos dar. Und um schlussendlich die Checkliste zu komplettieren: CTS Labs firmierte anscheinend einst unter Flexagrid Systems Inc. und stellte Malware bereit, um infizierte PCs Bitcoin minen zu lassen.

Die Sicherheitslücken hängen derweil zu großen Teilen mit AMDs Platform Security Processor (PSP), analog zu Intels Management Engine, zusammen und waren zumindest teilweise schon im Vorfeld bekannt. Laut verschiedenen Quellen seien die Sicherheitslücken tatsächlich gegeben, benötigten jedoch allesamt mindestens Admin-Rechte. Tavis Ormandy von Googles Project-Zero-Team, den Entdeckern von Meltdown und Spectre, merkt deshalb an, dass für PC-Nutzer schon vor dem Missbrauch der Sicherheitslücken "game over" sei.

66
    • Kommentare (66)

      Zur Diskussion im Forum
      • Von Freiheraus
        AW: AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben

        Da nicht nur AMD ASMedia-Chips verwendet, war wie vermutet recht klar, dass nicht ausschließlich AMD-Systeme betroffen sind: Hinterturen in USB-Controllern auch in Intel-Systemen vermutet |
        heise Security

        Zitat
        Intel-Mainboards mit ASMedia-Chips sind seit 2011/2012 auf dem Markt und deutlich weiter verbreitet als Ryzen-Systeme. Joel Hruska von Extremetech fragt deshalb, weshalb CTS-Labs die gefundenen Hintertüren in ASMedia-Chips nicht ebenso prominent veröffentlicht wie die restlichen Lücken auf der eigens eingerichteten Webseite AMDFLAWS.
        Zitat
        Laut eigenen Aussagen hatten die CTS-Labs-Leute zunächst die Hintertüren in den ASMedia-Chips untersucht und sind erst danach auf die Idee gekommen, dieselben Fehler auch in den AMD-Chipsätzen zu suchen. Ido Li On bestätigt in diesem Gespräch, dass seiner Ansicht nach alle Mainboards mit den erwähnten ASMedia-Controllern betroffen seien.
        Und zu den PSP spezifischen "Lücken/Bugs", die Intel ME-Lücken dürften denen kaum nachstehen, letztere kann man nicht mal deaktivieren, im Gegensatz zu AMDs PSP (bei mir ohnehin im UEFI deaktiviert).
      • Von Freiheraus
        AW: AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben

        Da nicht nur AMD ASMedia-Chips verwendet, war wie vermutet recht klar, dass nicht ausschließlich AMD-Systeme betroffen sind: Hinterturen in USB-Controllern auch in Intel-Systemen vermutet |
        heise Security

        Zitat
        Intel-Mainboards mit ASMedia-Chips sind seit 2011/2012 auf dem Markt und deutlich weiter verbreitet als Ryzen-Systeme. Joel Hruska von Extremetech fragt deshalb, weshalb CTS-Labs die gefundenen Hintertüren in ASMedia-Chips nicht ebenso prominent veröffentlicht wie die restlichen Lücken auf der eigens eingerichteten Webseite AMDFLAWS.
        Zitat
        Laut eigenen Aussagen hatten die CTS-Labs-Leute zunächst die Hintertüren in den ASMedia-Chips untersucht und sind erst danach auf die Idee gekommen, dieselben Fehler auch in den AMD-Chipsätzen zu suchen. Ido Li On bestätigt in diesem Gespräch, dass seiner Ansicht nach alle Mainboards mit den erwähnten ASMedia-Controllern betroffen seien.
        Und zu den PSP spezifischen "Lücken/Bugs", die Intel ME-Lücken dürften denen kaum nachstehen, letztere kann man nicht mal deaktivieren, im Gegensatz zu AMDs PSP (bei mir ohnehin im UEFI deaktiviert).
      • Von DaStash Trockeneisprofi (m/w)
        AW: AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben

        Zitat von plusminus
        Hat du Beweise das an den Behauptungen über Sicherheitslücken bei AMD Ryzen nichts dran ist ?

        Hier im Forum wurde von einigen auch gesagt das AMD CPU,s nicht von Meltdown+Spectre betroffen sind !?

        Heute weiß man es besser
        Lies einfach den Golem Artikel dazu, wurde hier schon mehrfach gepostet.^^

        MfG
      • Von KnSN Software-Overclocker(in)
        AW: AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben

        Die Bedrohung durch die Sicherheitslücke "Ryzenfall" erachte ich nicht für fiktiv. Dass die Wahrscheinlichkeit bestehe, die AMD Secure Technology zu kompromittieren, deren Term missverständlich über ihre elektronische Einheit "AMD Platform Security Processor" definiert ist, ist schon seit vor der offiziellen Kundgabe der Sicherheitslücken Meltdown und Spectre in den Medien hindurchgesickert. - "Nichts ist unfehlbar!"

        Mich interessiere vielmehr, als die zu überwiegend auf dem Intel-Bashing und sonstiger Impertinenz prägenden Unterredung einiger User, ob an jenen zwei Sicherheitlsücken nach Meltdown und Spectre etwas Wahres dran ist, deren Nomenklaturen mir entfallen sind, welche komischerweise keiner weiteren Diskussion zu bedürfen scheinen.
      • Von plusminus BIOS-Overclocker(in)
        AW: AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben

        Zitat von usernamepleasehere
        Na hoffentlich fährt AMD denen mit paar Anwälten gewaltig gegen den Karren.
        Bodenlose Frechheit sowas, bin gespannt ob an den Behauptungen überhaupt was dran ist, gehe aber nicht davon aus.
        Das mit der Malware erklärt mmn. schon alles über so eine Firma.
        Hat du Beweise das an den Behauptungen über Sicherheitslücken bei AMD Ryzen nichts dran ist ?

        Hier im Forum wurde von einigen auch gesagt das AMD CPU,s nicht von Meltdown+Spectre betroffen sind !?

        Heute weiß man es besser
      • Von Poor_Volta
        AW: AMD Ryzen: Zweifelhafte Sicherheitsforscher wollen 13 Sicherheitslücken gefunden haben

        Zitat
        Ja. Wie bereits beschrieben, wurden in der Intel Management Engine letztes Jahre einige Fehler gefunden, die ähnliche Auswirkungen hatten.
        Bei der ME benötigte man aber keinen Root-Zugriff auf das System.

        Bei AMD schon, also ist der "Bug" des PSP bei weitem nicht so schlimm!
        Wenn jemand eh schon vollen Zugriff auf das System hat, ist eh schon alles egal...
      Direkt zum Diskussionsende
  • Print / Abo
    Apps
    PCGH Magazin 08/2026 PC Games 08/2026 play5 08/2026 N-Zone 08/2026 Linux Magazin 08/2026 LinuxUser 08/2026 Raspberry Pi Geek 09/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk