Sicherheitslücken: AMD bittet um Geduld
Nach den am Dienstag von einer bisher unbekannten Firma gemeldeten Sicherheitslücken in Prozessoren und Chipsätzen von AMD bittet der Hersteller um mehr Zeit für ausführliche Untersuchungen.
AMD nimmt Stellung zu den am gestrigen Dienstag von der israelischen Firma CTS-Labs veröffentlichten Sicherheitslücken in Prozessoren und Chipsätzen. Der Hersteller erklärt, dass es dabei zwei ungewöhnliche Begleitumstände gebe: Einerseits habe das Unternehmen keine vernünftig bemessene Vorlaufzeit für eigene Untersuchungen der potenziellen Sicherheitslücken bekommen, andererseits sei die Firma CTS-Labs zuvor AMD nicht bekannt gewesen.
AMD verspricht in seiner Mitteilung mit der Überschrift "The View from Our Corner of The Street" zudem, weitere Informationen zu veröffentlichen, sobald welche vorliegen.
AMD verrät nicht genau, wann das Unternehmen von CTS-Labs informiert wurde. Üblich sind 90 Tage, also rund ein Vierteljahr – und das erscheint auch angemessen, sofern Interesse an einer Verbesserung der Produktsicherheit besteht. Denn ein Hersteller betroffener Produkte – das wäre in diesem Fall AMD – muss zunächst sämtliche Sicherheitslücken analysieren, dann Patches dafür ausarbeiten und diese auch an Fertigungspartner verteilen, die sie dann letztlich an Endkunden weitergeben, etwa in Form von BIOS-Updates.
Zweifel und Bestätigungen
Wie hier bereits gemeldet, sind die Umstände ungewöhnlich, unter denen CTS-Labs die "AMDflaws"-Sicherheitslücken Masterkey, Ryzenfall, Fallout und Chimera in den AMD-Prozessorfamilien Ryzen, Ryzen Pro und Epyc beziehungsweise den Promontory-Chipsätzen bekannt gegeben hat.
Ars Technica berichtet allerdings, dass Dan Guido von der Sicherheitsfirma Trail of Bits die Sicherheitslücken nachvollziehen konnte. Er hatte nach eigenen Angaben von CTS-Labs Informationen vorab erhalten. Auch Gadi Evron von Cymmetria bestätigt demnach die Meldungen.
Bisher ist keine seriöse Einschätzung der Sachlage möglich. Die Untersuchungen bei AMD werden einige Zeit beanspruchen. (ciw)
