security board image

AMD Prozessoren: Google Project Zero, Spectre und Meltdown

Update zur Prozessorsicherheit von AMD

11.01.2018

Die öffentliche Bekanntgabe der von mehreren Forschungsteams aufgedeckten Sicherheitsprobleme am 3. Januar, bei der es um die Ausführung der Speculative Execution durch moderne Mikroprozessoren ging, hat die Notwendigkeit ständiger Wachsamkeit zum Schutz der Daten in den Mittelpunkt gerückt. Im Rahmen dieser Bedrohungen wird versucht, die Kontrollfunktionen der Architektur von Mikroprozessoren zu umgehen, die für die Aufrechterhaltung des Schutzes der Daten sorgen.

Bei AMD hat Sicherheit höchste Priorität und wir arbeiten fortwährend daran, den Schutz unserer Benutzer angesichts immer neuer Risiken sicherstellen. Die erwähnte Wachsamkeit umfasst auch, die Community über unsere Maßnahmen im Hinblick auf die aktuelle Situation aufzuklären.

  • Google Project Zero (GPZ) Variant 1 (Bounds Check Bypass oder Spectre) betrifft auch AMD Prozessoren.
    • Wir sind der Meinung, dass sich diese Bedrohung durch ein Betriebssystem(BS)-Patch eindämmen lässt. Entsprechend haben wir mit Betriebssystemanbietern zusammengearbeitet, um auf das Problem einzugehen.
    • Microsoft stellt derzeit Patches für die meisten AMD Systeme bereit. Wir arbeiten eng mit Microsoft zusammen, um ein Problem zu beheben, das Anfang dieser Woche eine Unterbrechung der Bereitstellung von Patches für einige ältere AMD Prozessoren (Produktfamilien AMD Opteron, Athlon und AMD Turion X2 Ultra) herbeigeführt hat. Wir erwarten, dass dieses Problem in Kürze behoben wird und dass Microsoft in der nächsten Woche mit den Updates für diese älteren Prozessoren fortfährt. Die aktuellen Details finden Sie auf der Microsoft-Website.
    • Auch die Linux-Anbieter stellen derzeit Patches für AMD Produkte bereit.
  • GPZ Variant 2 (Branch Target Injection oder Spectre) betrifft auch AMD Prozessoren.
    • Auch wenn wir der Meinung sind, dass die Prozessorarchitekturen von AMD die Ausnutzung von „Variant 2“ schwierig gestalten, arbeiten wir in der Branche weiterhin eng im Hinblick auf diese Bedrohung zusammen. Durch eine Kombination aus Prozessor-Microcode-Updates und BS-Patches haben wir zusätzliche Schritte festgelegt, die wir Kunden und Partnern von AMD an die Hand geben werden, um dieser Bedrohung zu begegnen.
    • AMD wird den Kunden und Partnern ab dieser Woche optionale Microcode-Updates für Ryzen und EPYC Prozessoren zur Verfügung stellen. Wir gehen davon aus, dass wir in den kommenden Wochen Updates für vorherige Produktgenerationen bereitstellen können. Diese Software-Updates werden von den System- und BS-Anbietern bereitgestellt. Bitte wenden Sie sich an Ihren Anbieter, um die neuesten Informationen zu den verfügbaren Optionen für Ihre Konfiguration und Ihre Anforderungen zu erfahren.
    • Linux-Anbieter haben bereits mit der Bereitstellung von BS-Patches für AMD Systeme begonnen und wir arbeiten im Hinblick auf den Zeitplan für die Bereitstellung der Microsoft-Patches eng mit Microsoft zusammen. Darüber hinaus arbeiten wir mit der Linux-Community eng an der Entwicklung der Software-Entschärfungsmaßnahme „Return Trampoline“ (Retpoline) zusammen.
  • GPZ Variant 3 (Rogue Data Cache Load oder Meltdown) betrifft die AMD Prozessoren nicht.
    • Wir sind der Meinung, dass AMD Prozessoren aufgrund der Nutzung des Schutzes auf Berechtigungsebene innerhalb der Paging-Architektur nicht hierfür anfällig sind, so dass hier keine Entschärfungsmaßnahme erforderlich ist.

Darüber hinaus sind Fragen zu GPU-Architekturen aufgekommen. Die GPU-Architekturen von AMD Radeon nutzen keine Speculative Execution und sind daher nicht anfällig für diese Bedrohungen.

Ggf. stellen wir auf dieser Seite weitere Updates bereit. AMD arbeitet zwischenzeitlich weiter eng mit dem Rest der Branche an der Entwicklung von Entschärfungslösungen zum Schutz unserer Benutzer vor den aktuellen Sicherheitsbedrohungen zusammen.

Mark Papermaster,
Senior Vice President und Chief Technology Officer

Informationssicherheit hat bei AMD Priorität

03.01.2018

In der Presse wurde jüngst über ein potenzielles Sicherheitsproblem im Zusammenhang mit modernen Mikroprozessoren und Speculative Execution berichtet. Die Informationssicherheit hat bei AMD Priorität und unsere Sicherheitsarchitekten verfolgen aufmerksam, ob im Technologieumfeld neue Bedrohungen erkannt werden.

Es muss Klarheit darüber herrschen, inwiefern sich die von den Forschern im Zusammenhang mit der „Speculative Execution“ beschriebenen Anfälligkeiten auf Produkte von AMD beziehen. Beachten Sie dabei jedoch Folgendes:

  • Die beschriebenen Forschungen wurde in einer kontrollierten, eigenen Laborumgebung von einem Team aus Experten durchgeführt. Hierbei wurde auf detaillierte, nicht öffentliche Informationen zu den jeweiligen Prozessoren zurückgegriffen.
  • Eine solche Bedrohung ist in der Öffentlichkeit bis dato beispiellos.

Als AMD davon erfuhr, dass Forscher einen neuen CPU-Angriff entdeckt hatten, der auf die von den Produkten mehrerer Chip-Anbieter eingesetzte Funktion „Speculative Execution“ abzielt, haben wir uns unmittelbar über das Netzwerk ausgetauscht, um auf die Erkenntnisse des Teams eingehen zu können.

Das Forschungsteam hat im Rahmen der Forschungen zur „Speculative Execution“ drei Varianten identifiziert. Im folgenden Raster sind die spezifischen Varianten, die von den Forschern ausgemacht wurden, sowie die jeweiligen Antworten von AMD genauer beschrieben.

Matrix zu Varianten/Antworten von AMD

  Forschungstitel von Google Project Zero (GPZ) Details
Variant One Bounds Check Bypass Behoben durch von Systemanbietern und Herstellern zur Verfügung zu stellende Software-/Betriebssystem-Updates. Geringfügige Leistungseinbußen zu erwarten.
Variant Two Branch Target Injection Die unterschiedlich gestaltete Architektur von AMD bedeutet, dass das Risiko für die Ausnutzung dieser Variante gegen Null geht. Bis dato konnte für Prozessoren von AMD keine Anfälligkeit für Variante 2 nachgewiesen werden.
Variant Three Rogue Data Cache Load Aufgrund der unterschiedlich gestalteten Architektur von AMD keine Anfälligkeit im Hinblick auf diese Variante bei AMD.

Da sich die Sicherheitslandschaft kontinuierlich weiterentwickelt, stellen die Zusammenarbeit und der Informationsaustausch in der Branche die beste Verteidigung dar.

Ein totaler Schutz vor allen Möglichkeiten für Angriffe bleibt dennoch ein schwer zu erreichendes Ziel. Doch dieses jüngste Beispiel zeigt, wie effektiv die Zusammenarbeit innerhalb der Branche sein kann.

Wie immer empfiehlt AMD seinen Kunden dringend, durchweg sichere Computing-Verfahren zu beachten, so zum Beispiel Folgendes: kein Klicken auf nicht erkannte Hyperlinks, Einhaltung starker Passwortprotokolle, Nutzung sicherer Netzwerke und Durchführung der regelmäßigen Software-Updates.