AMD liefert an seine Kunden Microcode-Updates aus, die die Spectre-Lücken „Bounds Check Bypass “ (CVE-2017-5753) und „Branch Target Injection “ (CVE-2017-5715) in seinen Prozessoren schließen sollen. Das hat das Unternehmen jetzt mitgeteilt.
AMD hat damit seine ursprüngliche Meinung geändert. Unmittelbar nach Bekanntwerden der Sicherheitslücken Meltdown und Spectre hatte AMD noch erklärt, dass AMD-Prozessoren so gut wie nicht (“a near zero risk”) von Branch Target Injection (CVE-2017-5715) und definitiv nicht von Rogue Data Cache Load (CVE-2017-5754) betroffen seien. Nur der Angriffsweg „Bounds Check Bypass“ (CVE-2017-5753) betreffe auch AMD-Prozessoren. Diese Lücke könne aber über Betriebssystem-Updates geschlossen werden, so AMD damals. Diese Einschätzung hat AMD aber jetzt etwas korrigiert.
AMDs aktuelle Einschätzung der Sicherheitsrisiken sieht nun folgendermaßen aus: Die Lücke Bounds Check Bypass (Spectre) betrifft auch AMD-Prozessoren. Das hatte AMD von Anfang ja an eingeräumt. Diese Lücke soll nach Meinung von AMD aber durch Betriebssystem-Updates geschlossen werden. AMD arbeite hierbei eng mit den Betriebssystemherstellern zusammen. Speziell im Fall von Windows versucht AMD zusammen mit Microsoft das Problem zu lösen, das nach Installation des Windows-Patches zu Problemen auf Rechnern mit AMD-Prozessoren führte. Die korrigierten Patches soll Microsoft nach Meinung von AMD nächste Woche ausliefern können. In Zusammenhang mit Linux sind keine vergleichbaren Probleme bekannt. Mehr zu diesem Problem lesen Sie in dieser Meldung: Microsoft stoppt Meltdown-Spectre-Patch für AMD-PCs .
Branch Target Injection (Spectre) betrifft entgegen der ersten Einschätzung von AMD nun doch auch AMD-Prozessoren. AMD will diese Lücke durch eine Kombination aus Microcode-Updates und Betriebssystem-Updates schließen. AMD muss also genauso vorgehen wie Intel. Diese Microcode-Updates fließen dann in Firmware-/BIOS-Updates für die Hauptplatinen ein und werden von den PC-/Hauptplatinen-Herstellern für deren Endkunden veröffentlicht. Für Ryzen- und EPYC-Prozessoren will AMD noch ab dieser Woche Microcode-Updates veröffentlichen. In den nächsten Wochen sollen dann Updates für ältere AMD-Prozessoren folgen. Ob und wie sich die Microcode-Updates negativ auf die Leistung der Prozessoren auswirken werden, sagt AMD nicht.
AMD arbeite hierbei eng mit Microsoft und den Linux-Distributoren zusammen, soweit die Updates als Betriebssystem-Updates und nicht als Microcode-Updates für die Firmware veröffentlicht werden, wie der Chip-Hersteller betont.
In Bezug auf Meltdown bleibt AMD bei seiner Einschätzung, dass AMD-Prozessoren vor dieser Lücke sicher seien.
AMD betont zudem, dass seine GPUs sicher vor Spectre und Meltdown seien, weil diese Grafikprozessoren die problematischen Rechentechniken nicht verwendeten.
Meltdown und Spectre: Ist meine CPU betroffen? Was muss ich tun?