In den Zen-2-Prozessoren von AMD wurde eine neue Sicherheitslücke entdeckt, durch die Angreifer Daten wie Passwörter und Verschlüsselungsschlüssel von der CPU stehlen können. Der Fehler wurde diese Woche vom Google-Sicherheitsforscher Tavis Ormandy öffentlich gemacht und betrifft sowohl Consumer-Chips als auch Server, darunter auch Teile der Ryzen 3000-Serie.
Wie Ormandy in einem Posting ausführte, wurde diese “Zenbleed”-Schwachstelle erstmals Mitte Mai an AMD gemeldet. Sie kann genutzt werden, um Code über Javascript auf einer Webseite auszuführen – es ist kein physischer Zugriff auf einen betroffenen PC erforderlich. Wenn sie erfolgreich ausgenutzt wird, erlaubt Zenbleed Angreifern, jede CPU-Operation zu sehen, einschließlich solcher, die in Sandboxen oder virtuellen Maschinen stattfinden.
Hinweis: Die vollständige technische Übersicht finden Sie in Ormandys Beitrag oder in einer zusammengefassten Version in diesem Bericht von Tom’s Hardware. Alle Zen-2-Prozessoren der folgenden Prozessorfamilien sind betroffen:
- AMD Ryzen Prozessoren der 3000er-Serie
- AMD Ryzen PRO 3000er Prozessoren
- AMD Ryzen Threadripper Prozessoren der 3000er-Serie
- AMD Ryzen 4000er Prozessoren mit Radeon-Grafik
- AMD Ryzen PRO 4000 Serie Prozessoren
- AMD Ryzen Prozessoren der Serie 5000 mit Radeon Grafikkarte
- AMD Ryzen Prozessoren der Serie 7020 mit Radeon-Grafik
- AMD EPYC “Rom”-Prozessoren
Derzeit hat AMD nur ein Microcode-Update für EPYC-Server-CPUs der 2. Generation veröffentlicht, zusammen mit einem Sicherheitshinweis, in dem die Schwachstelle (die als CVE-2023-20593 gemeldet wurde) und der Zeitplan für die Veröffentlichung von Abhilfemaßnahmen erläutert werden.
Für Endanwender wird ein Fix durch die Hersteller von Originalgeräten (z. B. Dell oder HP für vorgefertigte PCs und Laptops und Motherboard-Hersteller für DIY-PCs) bereitgestellt. Threadripper-3000-CPUs werden als Erstes im Oktober mit der neuen AGESA-Firmware ausgestattet, gefolgt von Ryzen-4000-Mobilprozessoren im November. Für die Desktop-CPUs Ryzen 3000 und 4000 sowie die mobilen Prozessoren Ryzen 5000 und 7020 ist der Dezember 2023 das Ziel.
Wenn Sie nicht auf AMD warten möchten, erklärt Ormandy, wie Sie eine Softwareanpassung als Workaround vornehmen können – auch wenn die Auswirkungen auf die Leistung unbekannt sind. Die Auswirkungen der offiziellen Korrekturen von AMD auf die Leistung sind derzeit ebenfalls nicht bekannt, obwohl AMD in einer Erklärung gegenüber Tom’s Hardware erklärte, dass sie von der Arbeitslast und der PC-Konfiguration abhängen.
Wenn Sie eine Zen-2-CPU besitzen, sollten Sie sich auf jeden Fall einen Termin in Ihrem Kalender vormerken, an dem Sie nach dieser Entschärfung suchen. Die rechtzeitige Anwendung ist wichtig für Ihre Online-Sicherheit.
Das ist die deutsche Übersetzung des englischen Originals unserer Schwesterpublikation PC-World.