Ryzen-CPUs: AMD macht zahlreiche neue Sicherheitslücken öffentlich

19
News Valentin Sattler Als bevorzugte Quelle auf Google hinzufügen
Ryzen-CPUs: AMD macht zahlreiche neue Sicherheitslücken öffentlich
Quelle: AMD

In einem außerplanmäßigen Update hat AMD 31 neue Sicherheitslücken für Ryzen- und Epyc-Prozessoren veröffentlicht. Die meisten Lücken betreffen dabei die Server-Prozessoren des Unternehmens, und auch Fixes gibt es bereits.

Es ist nicht unüblich, dass in der Lebenszeit von Prozessoren zahlreiche Sicherheitslücken gefunden und von den Herstellern behoben werden. AMD veröffentlicht für gewöhnlich zweimal pro Jahr einen entsprechenden Bericht - im Mai und im November. Da sich dieses Mal besonders viele Sicherheitslücken angesammelt haben, hat das Unternehmen nun aber schon im Januar das nächste Update veröffentlicht.

31 Fehler bei Ryzen und Epyc

Die meisten Sicherheitslücken sind für Endkunden dabei nicht relevant: Von 31 veröffentlichten Lücken betreffen 28 AMDs Server-Chips aus der Epyc-Reihe. Drei Fälle sind hingegen für Privatanwender interessant. Darunter befindet sich auch ein Fehler mit hohem Sicherheitsrisiko, der eine freie Codeausführung auf mehreren CPU-Familien aus den Reihen Ryzen 2000, 3000, 5000 sowie Athlon 3000 ermöglichen soll. AMD empfiehlt hier jeweils ein UEFI-Update, da es für alle betroffenen CPUs bereits entsprechende AGESA-Updates gibt. Sofern der Mainboard-Hersteller dieses anbietet, gibt es für Endkunden somit kein Problem.

Anders sieht es hingegen bei den Epyc-Prozessoren aus. Insgesamt wurden hier 28 Sicherheitslücken veröffentlicht, von denen vier kritisch sind. Zwei davon betreffen alle Epyc-Modelle, die übrigen beiden nur jene der zweiten und dritten Generation. Auch hier gibt es dabei schon UEFI-Updates, eine Ausnutzung der Lücken kann also unterbunden werden. Anders ist das hingegen bei der als "Mittel" eingestuften Lücke CVE-2021-26355: Hier gibt es nur einen Fix für die Epyc-CPUs der dritten Generation, wohingegen für die ebenso betroffenen Modelle der zweiten Generation keine Lösung geplant ist. Warum das genau bei dieser Sicherheitslücke der Fall ist, ist dabei unbekannt. Eine denkbare Erklärung wären etwa drohende Performance-Einschnitte in Kombination mit einem niedrigen Risiko einer Ausnutzung.

Auch spannend: Intel Lunar Lake: Frische Architektur mit neuem Design

Offen bleibt zudem die Frage, warum in letzter Zeit so viele neue Sicherheitslücken entdeckt wurden. Die neuen Ryzen-7000-Prozessoren werden in der Auflistung nicht genannt und können deshalb kein Grund sein. Damit bleibt etwa eine zufällige Häufung der Funde als Erklärung. Außerdem rückte AMD in den letzten Jahren zunehmend in den Fokus von Sicherheitsforschern, da das Unternehmen den Marktanteil deutlich ausbauen konnte und Lücken damit relevanter wurden.

Quelle: AMD (1) & AMD (2) via Tom's Hardware

19

    • Kommentare (19)

      Zur Diskussion im Forum
      • Von Incredible Alk Flüssigstickstoff-Guru (m/w)
        Zitat von PCGH_Torsten
        Da es quasi durchweg Lücken sind, die bei der Systeminitialisierung oder bei Einsatz spezieller Security-Systeme greifen, ist ein Einfluss auf die Spiele-Performance sehr unwahrscheinlich.
        ...und der Einfluss auf die Sicherheit privater Spiele PCs genauso.
        Ich sehe hier erstmal gar keinen Grund überhaupt was zu updaten und mich dem Goodwill auszusetzen ob das Bios Update erstens funktioniert und zweitens danach das System noch weiter wie gewünscht funktioniert - ich habs oft genug erlebt dass mindestens eins davon nach einem bios Update nicht mehr der Fall war.

        Meine agesa ist iirc die 1.2.0.2 - das letzte Bios Update war nötig damit das Board weiß was ein 5950X ist. Und so lange das jetzt läuft wies soll und keine Lücken auftauchen die auch über "normale" Angriffsvektoren ausgenutzt werden update ich da auch nix. Das Risiko ist einfach viel größer als der Nutzen.
        Zitieren
      • Von Incredible Alk Flüssigstickstoff-Guru (m/w)
        Zitat von PCGH_Torsten
        Da es quasi durchweg Lücken sind, die bei der Systeminitialisierung oder bei Einsatz spezieller Security-Systeme greifen, ist ein Einfluss auf die Spiele-Performance sehr unwahrscheinlich.
        ...und der Einfluss auf die Sicherheit privater Spiele PCs genauso.
        Ich sehe hier erstmal gar keinen Grund überhaupt was zu updaten und mich dem Goodwill auszusetzen ob das Bios Update erstens funktioniert und zweitens danach das System noch weiter wie gewünscht funktioniert - ich habs oft genug erlebt dass mindestens eins davon nach einem bios Update nicht mehr der Fall war.

        Meine agesa ist iirc die 1.2.0.2 - das letzte Bios Update war nötig damit das Board weiß was ein 5950X ist. Und so lange das jetzt läuft wies soll und keine Lücken auftauchen die auch über "normale" Angriffsvektoren ausgenutzt werden update ich da auch nix. Das Risiko ist einfach viel größer als der Nutzen.
        Zitieren
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Zitat von ΔΣΛ
        Das wäre genau welche Version?
        Auf meinen beiden Ryzen Systemen habe ich 1.2.0.7
        AMDs vollständige Auflistungen, welche CPU in welcher Plattform ab welcher AGESA-Version gegen welche Vulnerabilität geschützt ist, sind unter den beiden Quellenlinks zu finden. Sie füllen jeweils mehrere Seiten und lassen sich kaum sinnvoller zusammenfassen, allenfalls lückenhaft zitieren.

        Zitat von hrIntelNvidia
        Gibt es mit den Patches Performanceeinbußen @PCGH? Und wenn ja, von welchem Ausmaß sprechen wir da?
        AMD macht, herstellertypisch, keine Angaben dazu. Da es quasi durchweg Lücken sind, die bei der Systeminitialisierung oder bei Einsatz spezieller Security-Systeme greifen, ist ein Einfluss auf die Spiele-Performance sehr unwahrscheinlich. Da stehen wir letztlich vor dem Problem, dass ein neues UEFI immer auch andere Änderungen durch den Mainboard-Hersteller enthält, die mutmaßlich mehr Einfluss auf die Leistung nehmen aber auf alle Fälle nicht von den AGESA-Neuerungen differenziert werden können. [Ins Forum, um diesen Inhalt zu sehen] macht die CPU-Messungen aber ohnehin immer mit aktueller Firmware; so etwas fließt also automatisch in den PCGH-CPU-Index ein.

        Zitat von Expertenstatement
        Finde ich sehr löblich von AMD dass sie auf diese Sicherheitslucken hinweisen.

        Intel dagegen hat sowas ja in der Vergangenheit gerne ausgesessen und unter den Tisch gekehrt.

        Als Intel sich dann endlich nach langer Zeit erbarmte die Probleme zu fixen,
        bezahlten die Kunden dafür einen sehr hohen Preis: heftige Performanceeinbußen.
        Intel führt seit Jahrzehnten öffentliche Errata-Listen, in den viele Fehler sogar ausführlicher beschrieben werden. In aller Regel erfährt die Öffentlichkeit zuerst aus diesen von neuen Fehlern, was wohl das genaue Gegenteil von aussitzen und unter den Tisch kehren ist und Beschwerden über "heftige" Performance-Einbußen sind mir zum letzten Mal im Zusammenhang mit Spectre und Meltdown begegnet – von Linux-Datenbankanwendungen, nicht von Spielern. Ausgerechnet dieser Exploit-Komplex ist aber ein ganz schwarzes Thema in Sachen AMD-Kommunikation, denn da wurde teilweise über ein Jahr lang erzählt, Zen wäre nicht betroffen, bis nach und nach unabhängige Research-Paper eine vermeintliche "Intel"-Sicherheitslücke nach der anderen auch auf AMD-CPUs nachstellen konnten.
        Zitieren
      • Von Expertenstatement PC-Selbstbauer(in)
        Finde ich sehr löblich von AMD dass sie auf diese Sicherheitslucken hinweisen.

        Intel dagegen hat sowas ja in der Vergangenheit gerne ausgesessen und unter den Tisch gekehrt.

        Als Intel sich dann endlich nach langer Zeit erbarmte die Probleme zu fixen,
        bezahlten die Kunden dafür einen sehr hohen Preis: heftige Performanceeinbußen.
        Zitieren
      • Von sonny1606
        Ich nutze daher Windows ausschließlich zum zocken. Alles andere mache ich unter Linux im dualboot inkl. verschlüsselter Festplatten. Dort gibt's auch heutzutage 0 Viren.
        Getreu dem motto "gib viren keine Chance".

        Zitat von Titanultra
        Jeden Tag eine neue Horrormeldung, gestern verseuchte Treiber heute CPUs mit Hackereinladung. Wann wird endlich reagiert?
        Zitieren
      • Von Fjutsha Komplett-PC-Käufer(in)
        Zitat von Francober
        Ich hab auch noch Agesa 1.2.0.7 bei meinem x570 Asrockbrett. MSI und ich meine Gigabyte haben schon Agesa 1.2.0.8 draußen.
        Bin mal gespannt wann die anderen das mal auf die Kette bekommen. Die Agesa 1.2.0.8 gibt es von AMD schon seit letztem Jahr, nur die Boardpartner verlustieren sich lieber an den neuen Boards von AM 5 als sich um die ollen AM 4er zu kümmern
        Zumindest für mein Gigabyte X570S UD gibt es sogar erst seit 26.12.22 die Version 1.2.0.7...

        Wie es aussieht, ist das für die 5000er CPUs aber mit der Version alles schon mitgefixt (s.o.)
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 07/2026 play5 07/2026 N-Zone 07/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen Vertrag widerrufen AGB Inhalt melden Newsletter