Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

AMD werkt aan updates voor Ryzen- en Epyc-kwetsbaarheden

AMD werkt aan firmware- en biosupdates voor de vorige week gemelde kwetsbaarheden in zijn Ryzen- en Epyc-processors. De chipontwerper tekent aan dat voor misbruik beheerderstoegang tot systemen vereist is.

AMD meldt dat het op 12 maart door CTS Labs werd ingelicht over de gevonden kwetsbaarheden en dat het beveiligingsbedrijf 24 uur later de lekken publiekelijk bekendmaakte. AMD claimt de bevindingen snel getoetst te hebben en op het punt te staan om patches uit te brengen.

"Het is belangrijk aan te tekenen dat de problemen die gemeld zijn in het onderzoek, vereisen dat er beheerderstoegang tot de systemen is, waarbij de gebruiker feitelijk onbeperkte toegang heeft en het recht heeft bestanden en mappen te verwijderen, aan te maken en aan te passen, evenals het recht om instellingen aan te passen", benadrukt AMD.

Dit was ook de kritiek op de oorspronkelijke publicatie van CTS Labs. Kritiek was er ook op de korte duur tussen melding aan AMD en publicatie, waarbij CTS wel veel tijd gestoken leek te hebben in de marketing van de kwetsbaarheden. Wel erkenden deskundigen dat het om echte kwetsbaarheden gaat. Die kwetsbaarheden bevinden zich in de AMD Platform Security Processor , een op de ARM-architectuur gebaseerde co-processor die onderdeel is van Ryzen- en Epyc-processors en tal van beveiligingstaken voor zijn rekening neemt. Daarnaast bleek de door ASMedia geproduceerde 'Promontory'-chipset kwetsbaar. De lekken bevonden zich niet in de Zen-architectuur voor cpu's.

AMD brengt in de komende weken biosupdates uit voor de Masterkey-, Ryzenfall- en Fallout-kwetsbaarheden, en het bedrijf gaat de firmware van de Platform Security Processor aanpassen. Volgens AMD beÔnvloeden deze de prestaties van de processors niet. De Chimera-kwetsbaarheid betrof de 'Promontory'-chipset van de AM4- en TR4-platforms. Hiervoor brengt AMD ook een biosupdate uit en het bedrijf werkt samen met ASMedia, de ontwerper van de chipset, om de kwetsbaarheid te verhelpen.

AMD belooft in de komende weken meer bekend te maken over de updates.

Door Olaf van Miltenburg

NieuwscoŲrdinator

21-03-2018 • 10:14

52 Linkedin Google+

Submitter: achondar

Reacties (52)

Wijzig sortering
In hoeverre zijn deze problemen te vergelijken met die van Intel eerder dit jaar? Zijn deze minder 'gevaarlijk' of van gelijk niveau?
Niet eens op hetzelfde niveau. Bij de Intel exploits kon je van buitenaf binnendringen zonder admin rechten of fysieke toegang. Hier moet je bij de PC zijn met admin rechten en als je die hebt dan zijn dit de laatste problemen waar je je zorgen om moet maken.

Anyway, ik moet nog steeds grinneken bij de gedachte van die “finaciŽle adviseurs” die riepen dat AMD hier niet van terug kon komen en dat ze maar falliet moesten gaan. Gekkies :*)

[Reactie gewijzigd door carl_the_cactus op 21 maart 2018 12:14]

Geen geitenwollen sokken, maar gewoon vies spelletje short selling door koersmanipulatie.

Deze viezeriken zouden allemaal vette boetes moeten krijgen en met pek en veren eruit gegooid moeten worden.
Want als dit soort praktijken niet ongenadig hard aangepakt worden kan ieder bedrijf de dupe worden, met gigantische economische schade tot gevolg.
Gelukkig heeft de markt al een betere oplossing: niet reageren ;) De betreffende jongens van Viceroy investments zaten flink short, maar doordat er eigenlijk al meteen twijfels waren over de serieusheid van de problemen deed de koers van AMD... helemaal niks. Dat kost ze dus nu hun short-positie, want daar hebben ze in geinvesteerd, en die levert nu veel minder op dan geplanned. Ze hebben nog geluk gehad dat de NASDAQ vol op z'n snufferd ging de afgelopen week, want anders kon het ze wel eens veel meer kosten.

Het uiten van twijfel of zelfs sterkere bewoordingen is an sich niet strafbaar, ook niet als je een flinke positie in een bedrijf hebt. De markt gaat uit van goed geinformeerde spelers, die onderzoek doen voor ze posities innemen. Dat de werkelijkheid daar soms van afwijkt, is jammer, maar in dit geval ging het prima.
Als je had opgelet, dan had je ook geweten dat viceroy er niet bij betrokken was. Officiele verklaring van beide partijen.

Toch vind ik het wel een zorgelijke bug van AMD. Ook al is er beheerderstoegang nodig. Genoeg mensen die niet opletten. Je kan namelijk wel hele leuke dingen doen met deze bugs en het OS kan het dan niet eens detecteren.

Er moet zeker een update komen, maar het is wel iets minder erg dan meltdown natuurlijk.
Als je had opgelet, dan had je ook geweten dat viceroy er niet bij betrokken was. Officiele verklaring van beide partijen.
en die moeten we geloven omdat...?

Binnen een uur na publicatie van het rapport van CTS labs had viceroy al een 11 pagina tellende analyse genaamd 'AMD: the obituary'. 14 minuten na de eerste tweet hierover van viceroy had CNBC viceroy al uitgenodigd.

Dit alles was dus al vooraf onderling geregeld. Of ze dat met elkaar gedaan hebben of via de 3de partij is niet belangrijk, het was vooropgezet om zo snel mogelijk zo veel mogelijk negative berichtgeving te creŽren, en ze hebben er beide willens en weten aan meegewerkt.

[conspiracy time]
En onderandere gezien de sterke link met israel van beide bedrijven zou het me helemaal niks verbazen als intel hier achter zit, na al de negativiteit rond meltdown en spectre, die ze ook op AMD hebben willen schuiven, maar wat was mislukt.
[/conspiracy time]

[Reactie gewijzigd door Countess op 21 maart 2018 13:27]

Ik vind dit een vreemde reactie; Ik kan zelf ook op honderden acties komen die "leuke dingen doet met het OS" die het OS ook niet zal detecteren als ik beheerdersrechten hebt. Ben ik nu ook een Security Expert met een baanbrekende claim?

Ik vind jouw uitspraak wel fantastisch kort door de bocht als dit jou inderdaad al zorgen baart.
Sorry, maar in mijn mening is het ťcht geen meerwaarde voor de markt dat je zulke opgehypte media pogingen enige waarde probeert mee te geven.
Zo geheel zorgwekkend is het helemaal niet . Biosen zijn niet zo maar effe te hacken en flashen.
1 je moet dus root toegang hebben .
2 dan moet je het exacte type moederboard weten en daar voor een specifiek bios voor her schrijven .
3 Het bios flashen gaat ook niet op de normale manier je moet de AMD securitie omzeilen en dan flashen.
4 Dan moet je een Microsoft Windows sighned driver hebben . En deze installeren.
Is die niet sighend door Microsoft dan moet je fisiek aanwezig zijn en de stappen van Microsoft unsighend driver door lopen , dat gaat dus gepaard met enkele reboots.
5 de computer op nieuw opstarten.
Pas daar na zou je iets kunnen doen .Dat zijn zo veel stappen die je moet door lopen dat je het niet zo maar effe doet. Dus ja het kan maar het is zo veel werk,
Dat je er niet wakker van hoeft te liggen. Of het moet van uit de leverancier al zijn voor geÔnstalleerd.
Het gaat er zo beroerd aan toe nu omdat het de afgelopen jaren in een strakke rechte lijn omhoog ging... Het verbaast me nog steeds dat we zo ver gekomen zijn, dus een beetje terugval (20% eraf ofzo) is niks ongewoons. Ja voor degenen die 2008 niet hebben meegemaakt wel ;)

Zelfs dat Orakel dat gisteren 10% mocht inleveren staat nog steeds hoger dan een halfjaartje geleden, en heeft nauwelijks geleden onder die grote finance-oops van 10 jaar (!) terug.
Geen geitenwollensokkenfiguren maar fraudeurs!

Ze lieten de kwetsbaarheden expres erger lijken dan ze waren om zo de beurswaarde van AMD (tijdelijk) te doen zakken, en daar dan geld aan te verdienen door AMD te shorten.
Die adviseurs hadden dan ook binnen een uur na publicatie van de problemen een gigantisch document klaarstaan. Die speelden overduidelijk onder 1 hoedje met CTS Labs.

In de legal disclaimer van CTS Labs staat dan ook letterlijk het volgende "Although we have a good faith belief in our analysis and velieve it to be objective and unbiased, you ara advised that we may have, either directly or indirectly, an economic interest in the performance of the security of the companies whose products are the subjects of our reports."
https://nl.hardware.info/...ondom-lekken-in-amd-ryzen

[Reactie gewijzigd door Richh op 21 maart 2018 10:39]

Anyway, ik moet nog steeds grinneken bij de gedachte van die “finaciŽle adviseurs” die riepen dat AMD hier niet van terug kon komen en dat ze maar falliet moesten gaan. Geitenwollensokkenfiguren :*)
Dit stond letterlijk in het 'marketing'-verhaal van CTS Labs. En door de extreem korte deadline om te reageren op de gevonden kwetsbaarheden, lijkt het er meer op dat dit een stunt was om het AMD aandeel te laten crashen om er zelf beter van te worden.

Ja het klopt dat de kwetsbaarheden die gevonden waren door CTS labs bestonden. Maar de randvoorwaarden (zoals root/admin rechten hebben) zijn zo vreemd icm de notitie over het aandeel.
Maakt het een verdacht verhaal
Citaat uit de Dikke Van Dale: ‚Gei∑ten∑wol∑len (bijvoeglijk naamwoord): van geitenwol: geitenwollen sokken als kenmerk van wereldvreemde, linkse idealisten.’

Dit zou nu niet bepaald de types waar jij op doelt.

Dit zijn rechtse geldwolven die een bedrijf zo goedkoop mogelijk willen maken, de boel opkopen en dan delen ervan of het geheel met een mooie winst weer de deur uitdoen.
Het vervelende van deze bugs is dat de firmware gecompromitteerd kan worden, waardoor een herinstallatie geen oplossing meer is om het te verwijderen.
Dat is bij Spectre en Meltdown niet anders. En omdat de vereisten om dit te kunnen doen bij deze AMD kwetsbaarheden lokale root/administrator toegang is zijn deze kwetsbaarheden veel minder ernstig dan die van Intel.
"minder ernstig" =/= "niet ernstig"

Natuurlijk is dit ernstig. Maar de manier waarop deze kwetsbaarheden zijn opgeklopt door CTS in combinatie met de tijd die AMD heeft gekregen om er op te reageren rieken naar een poging om AMD een hak te zetten.

Intel heeft met deze specifieke bugs inderdaad niets te maken, behalve dat ze worden afgeschilderd als even ernstig als de Meltdown bug in Intel CPUs, wat verre van waar is.
Niet, dit zijn software problemen die relatief eenvoudig opgelost kunnen worden en daarnaast relatief weinig voorstellen. Omdat je al volledige toegang moet hebben tot het systeem.

Problemen van Intel waren onder andere hardwarematig en zijn veel ernstiger. De perfecte oplossing hiervoor is een nieuwe CPU die de problemen niet heeft. En die zou op zijn vroegst eind dit jaar komen.
Bij meeste van deze "exploits" heb je administrator rechten nodig of zelfs de mogelijkheid tot het flashen van de BIOS. Als een kwaadwillende dat soort dingen met je computer kan doen dan is een "Exploit" in de CPU wel een van je mindere zorgen.
Een kwaadwillende heeft je systeem of netwerk dermate geinfiltreerd als hij gebruik kan maken van deze kwetsbaarheden dat het niet meer uitmaakt dat die kwetsbaarheden er zijn. bij Intel kon er van buitenaf gebruik van gemaakt worden. deze kwetsbaarheden zijn dus niet van het niveau spectre of meltdown.

Deze kwetsbaarheden zijn ook gepubliceerd zonder amd de tijd te geven om actie te ondernemen en dat is niet netjes. naast het feit dat het opgeblazen werd.
Niet zozeer fake, maar door CTS Labs en Viceroy zwaar opgeblazen. Aanvallen op AMD en Asmedia ipv de technische issues toelichten en dat terwijl de bugs zich niet eens beperken tot AMD systemen, mede omdat het echte probleem betreft dat een kwaadwillende fysieke toegang tot het systeem (vereist voor de bugs) nodig heeft om de bugs te misbruiken. Zo is een BIOS-flash bijvoorbeeld vereist, er spelen dan toch echt niet-ICT gerelateerde security issues als een kwaadwillende dat voor elkaar krijgt.

Het was vooral mediasensatie om eigenlijk niks bijzonders. Timing na Meltdown/Spectre was gunstig maar gelukkig heeft bijna iedereen deze jongens genegeerd of in ieder geval kritisch bekeken.

[Reactie gewijzigd door PhatFish op 21 maart 2018 14:41]

Het is maar wat je 'duidelijk niet' noemt. Als je root toegang hebt, heb je geen trucen meer nodig. Je bent dan al binnen. Je kunt overal bij en alles kopiŽren. Dus om nou te stellen dat een hack met vereiste root toegang een kwetsbaarheid is, gaat erg ver. Dat is zoiets als klagen dat een harde schijf mee te nemen is met als vereiste fysieke toegang.
Prima dat AMD het oppakt maar eerlijk gezegd denk ik dat dit vooral naar de aandeelhouders een gebaar/teken van integriteit is (slimme zet!). CTS Labs is in de techmedia onderhand al met de grond gelijk gemaakt, vooral omdat de "bugs" op veel meer dan AMD-systemen toepasbaar zijn en tegen de tijd dat een kwaadwillend iemand de juiste toegang heeft, betekent het dat er in de gehele bedrijfssecurity (op HRM-niveau) al best wat problemen zijn. Die los je natuurlijk niet op met enkel een bugfix.
https://community.amd.com...ment-of-cts-labs-research

Zit dus niet in de CPU's ... sorry maar dit is onjuist weergeven van de realiteit
hoe krijgen we die updates dan binnen?via windows update of via de moederbord fabrikanten (bios)?
Dit nieuws was specifiek gemaakt om de koers te beÔnvloeden.

Enkele dagen voor het nieuws werd er een gigantische short positie op het aandeel genomen.

24u na het melden aan AMD publiek gemaakt met erg veel heisa. Uitspraken zoals AMD moet alle CPU's intrekken, gekoppeld met een 25 pagina's tellend research report van een financiele analyst (viceroy research) waarin stond dat AMD geen andere keus had dan het faillisement aan te vragen.

Dit was dus pure manipulatie van de aandeelkoers en krijgt ongetwijfeld nog een staartje.
Gelijk dat er kwetsbaarheden waren.
Ongelijk met de manier van uitbrengen (24h verwittiging), zwaarte van de kwetsbaarheden (je heb reeds toegang nodig) en conclusies (AMD moet niet sluiten omwille van deze kwetsbaarheden)
Het was zeker een echt security issue, daar is de kritiek ook niet op.

Het werd gewoon allemaal erg dramatisch gemaakt, AMD moest de deuren sluiten en alle processors recallen etc. Terwijl het eigenlijk helemaal niet zo spannend was.

Volgens CTS kon AMD het ook niet fixen binnen de normale termijn van 90d, en hadden ze het daarom maar meteen de wereld ingestuurd.
Dat was mijn punt ook niet. CTS had (zo blijkt) gelijk in de kwetsbaarheden die er waren. Er waren juist twijfels over hoe ernstig deze kwetsbaarheden waren. Zo bleek dus dat voor alle kwetsbaarheden je of admin rechten of fysieke toegang nodig had om het uit te voeren. Dus iemand zou dus eerst admin rechten of fysieke toegang moeten verlenen tot je hardware willen deze kwetsbaarheden uitgevoerd worden, en dan heb je grotere problemen dan alleen in je hardware die je gebruikt. Dit is totaal niet AMD gerelateerd en is bij elk merk toepasbaar.

Het feit juist dat dit alleen bij AMD als security issue werd opgelegd was al vreemd. Tevens waren deze 'onderzoekers' van mening dat AMD zijn productie hierdoor moest stoppen en simpelweg geen bestaansrecht had. Dat zijn opmerkingen die een beveiligingsonderzoeker niet hoort te doen en niet zou doen. En het is gewoon een opmerking die laat blijken dat deze 'onderzoekers' andere bedoelingen hadden dan simpelweg een probleem aan te kaarten.

Het was hun bedoeling om deze 'problemen' zo groot mogelijk en zo ernstig mogelijk in de media te brengen zonder AMD redelijke tijd te geven om hier op te reageren en een fix uit te brengen.
AMD heeft zo blijkt ver binnen de normaal gestelde tijd van 90 dagen, een fix uitgebracht. Dus het probleem was redelijk simpel op te lossen. Het lijkt dus dat ze er alles aan hebben gedaan, ook op marketing gebied om AMD geen kans te geven om dit probleem uit te zoeken, en AMD groot en zo slecht mogelijk in het nieuws te brengen.

Wat hier precies de reden van was is nog onduidelijk maar velen zeggen dat ze de koers probeerden te beÔnvloeden. Maar uit de opmerkingen die ze maakten over AMD in de whitepaper lijkt het sterk op een concurrent of gewoon een anti-amd campagne van fanboys.

[Reactie gewijzigd door Crp op 21 maart 2018 14:38]

Dit is gewoon een valide punt hoor. Als AMD zegt dat ze het gaan fixen wordt hun product daardoor gewoon beter.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True