Linux-Erfinder Linus Torvalds stellt die von der israelischen Sicherheitsfirma CTS Labs gemeldeten 13 Schwachstellen in Ryzen- und Epyc-Prozessoren von AMD in Frage. In einer auf Google+ geführten Diskussion unterstellt er, dass es sich nicht um Sicherheitslücken im eigentlichen Sinn handelt, sondern um ein Verfahren, mit dem jegliche CPUs als unsicher einzustufen sind.
Torvalds zufolge trägt die Sicherheitsbranche jedoch eine Mitschuld daran, dass selbst unbedeutende Sicherheitsanfälligkeiten aufgebläht und als schwerwiegende Probleme dargestellt würden. „Ein einprägsamer Name und eine Webseite scheinen heute für eine sensationsheischende Sicherheitsmeldung erforderlich zu sein.“ Die Branche habe es versäumt, den Forschern beizubringen, kritisch mit ihren Ergebnissen umzugehen.
„Die Sicherheitsleute müssen verstehen, dass sie sich lächerlich machen. Die gesamte Sicherheitsbranche muss sich eingestehen, dass einiges schief läuft, und sie sollten kritisches Denken ermutigen“, so Torvalds weiter.
Vor der Veröffentlichung der Ryzenfall, Fallout, Chimera und Master Key genannten Anfälligkeiten war CTS Labs in der Sicherheitsbranche eher unbekannt. Für Aufsehen sorgte das Start-up auch, weil es AMD nicht die branchenübliche Frist von 90 Tagen für die Behebung der Fehler gewährte – AMD informierte es nur rund 24 Stunden vor der Veröffentlichung über seine Erkenntnisse.
Stattdessen weihte das Unternehmen den Sicherheitsforscher Dan Guido, CEO von Trail of Bits, ein und bat ihn um eine unabhängige Bestätigung der Forschungsergebnisse. Er twitterte, dass die Fehler „echt“ seien und das der von CTS Labs entwickelte Schadcode funktioniere. Er räumte aber auch ein, dass ein Angreifer Administratorrechte benötige, um die Schwachstellen ausnutzen zu können.
Genau hier setzt Torvalds Kritik an. Ein Nutzer, der physischen Zugriff auf ein System sowie Administratorrechte hat, benötigt eigentlich keine zusätzlichen Sicherheitslücken, um weitere Änderungen an dem System vorzunehmen oder Daten zu stehlen, zu verändern oder zu löschen. Selbst wenn es sich um tatsächliche Fehler handelt, in der Praxis haben sie nahezu keine Bedeutung, weil sie sich eigentlich nur auf bereits kompromittierten Systemen ausnutzen lassen.
Obwohl Torvalds das Risiko der von CTS Labs gefundenen CPU-Bugs offenbar als gering einstuft, richteten sich seine Kommentare auch gegen die sofortige Offenlegung. Er vermutet sogar, dass das israelische Unternehmen unlautere Absichten hat. „Für mich sieht das eher wie eine Aktienmanipulation als eine Sicherheitswarnung aus“.
Tatsächlich brach der Kurs der AMD-Aktie im Verlauf des gestrigen Handelstags um 2,41 Prozent ein. Allerdings setzte sich damit auch eine Entwicklung der vergangenen Woche fort. Ende Januar kostete eine AMD-Aktie noch 13,74 Dollar. Gestern schloss das Papier mit einem Kurs von 11,36 Dollar. In den vergangenen 52 Wochen schwankte der Kurs zwischen 9,70 und 15,65 Dollar.
Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
