CPU-Sicherheitsleck Sinkclose: Firmware-Update auch für AMDs Ryzen 3000
Die CPU-Sicherheitslücke "Sinkclose" ermöglicht Angreifern das Einschleusen von Schadcode. Für ältere CPUs waren erst keine Updates geplant.
(Bild: Mark Mantel / heise online)
Eine Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, im System Monitor Mode (SMM) Sicherheitsmechanismen zu umgehen und Schadcode auszuführen. Ursprünglich plante AMD, nicht für alle betroffenen Prozessoren Updates zu veröffentlichen. Jetzt rudert die Prozessorschmiede zurück.
Die auf der IT-Sicherheitsmesse Defcon 2024 in Las Vegas vorgestellte Schwachstelle betrifft hunderte Millionen AMD-CPUs aus den vergangenen zehn Jahren, bis hinauf zu den Ryzen-7000-Prozessoren. Die Entdecker haben sie "Sinkclose" getauft – Sicherheitslücken brauchen heutzutage griffige Namen.
AMD reagierte beschwichtigend auf die Veröffentlichung und erläuterte dort, "dass es sehr schwierig ist, diese Sicherheitslücke auszunutzen. Angreifer müssen dazu Zugang zu den betreffenden PCs oder Servern besitzen, um die Hardware zu manipulieren und Kernel-Zugriff zu erlangen. AMD vergleicht die Sinkclose-Technik mit einer Methode, um auf die Schließfächer einer gesicherten Bank zuzugreifen." Die Sicherheitsmitteilung von AMD zu der Lücke mit der CVE-Nummer CVE-2023-31315 (CVSS 7.5, Risiko "hoch") hat bereits viele Prozessoren ausgewiesen, für die AMD Microcode-Updates eingeplant oder sogar veröffentlicht hat.
Keine Updates für AMD Ryzen 3000 geplant
Laut der Liste aus der vergangenen Woche sollten etwa Prozessoren der Ryzen-3000-Linien keine Aktualisierungen erhalten. Inzwischen hat AMD die Sicherheitsmitteilung jedoch aktualisiert.
Nun stehen in den Prozessor-Listen der Meldung nebst älteren AMD EPYC-Prozessoren etwa auch für AMDs Ryzen 3000 Desktop-CPUs, Mobile Athlon 3000 und Mobile Ryzen 3000 Microcode-Updates, die laut Datum sogar schon verfügbar sind. Bis Oktober gedulden müssen sich Besitzer von AMDs Embedded-CPUs. Ohnehin müssen Besitzer von Systemen mit AMD-CPUs auf BIOS-Aktualisierungen durch den Hersteller warten – diese müssen die Microcode-Aktualisierungen darin integrieren.
(dmk)