security board image

AMD Prozessorsicherheit - Frühere Updates

Update zur Prozessorsicherheit von AMD

11.01.2018

Die öffentliche Bekanntgabe der von mehreren Forschungsteams aufgedeckten Sicherheitsprobleme am 3. Januar, bei der es um die Ausführung der Speculative Execution durch moderne Mikroprozessoren ging, hat die Notwendigkeit ständiger Wachsamkeit zum Schutz der Daten in den Mittelpunkt gerückt. Im Rahmen dieser Bedrohungenwird versucht, die Kontrollfunktionen der Architektur von Mikroprozessoren zu umgehen, die für die Aufrechterhaltung des Schutzes der Daten sorgen.

Bei AMD hat Sicherheit höchste Priorität und wir arbeiten fortwährend daran, den Schutz unserer Benutzer angesichts immer neuer Risiken sicherstellen. Die erwähnte Wachsamkeit umfasst auch, die Community über unsere Maßnahmen im Hinblick auf die aktuelle Situation aufzuklären.

  • Google Project Zero (GPZ) Variant 1 (Bounds Check Bypass oder Spectre) betrifft auch AMD Prozessoren.
    • Wir sind der Meinung, dass sich diese Bedrohung durch ein Betriebssystem (BS)-Patch eindämmen lässt. Entsprechend haben wir mit Betriebssystemanbietern zusammengearbeitet, um auf das Problem einzugehen.
    • Microsoft stellt derzeit Patches für die meisten AMD Systeme bereit. Wir arbeiten eng mit Microsoft zusammen, um ein Problem zu beheben, das Anfang dieser Woche eine Unterbrechung der Bereitstellung von Patches für einige ältere AMD Prozessoren (Produktfamilien AMD Opteron, Athlon und AMD Turion X2 Ultra) herbeigeführt hat. Wir erwarten, dass dieses Problem in Kürze behoben wird und dass Microsoft in der nächsten Woche mit den Updates für diese älteren Prozessoren fortfährt. Die aktuellen Details finden Sie auf der Microsoft-Website.
    • Auch die Linux-Anbieter stellen derzeit Patches für AMD Produkte bereit.
  • GPZ Variant 2 (Branch Target Injection oder Spectre) betrifft auch AMD Prozessoren.
    • Auch wenn wir der Meinung sind, dass die Prozessorarchitekturen von AMD die Ausnutzung von „Variant 2“ schwierig gestalten, arbeiten wir in der Branche weiterhin eng im Hinblick auf diese Bedrohung zusammen. Durch eine Kombination aus Prozessor-Microcode-Updates und BS-Patches haben wir zusätzliche Schritte festgelegt, die wir Kunden und Partnern von AMD an die Hand geben werden, um dieser Bedrohung zu begegnen.
    • AMD wird den Kunden und Partnern ab dieser Woche optionale Microcode-Updates für Ryzen und EPYC Prozessoren zur Verfügung stellen. Wir gehen davon aus, dass wir in den kommenden Wochen Updates für vorherige Produktgenerationen bereitstellen können. Diese Software-Updates werden von den System- und BS-Anbietern bereitgestellt. Bitte wenden Sie sich an Ihren Anbieter, um die neuesten Informationen zu den verfügbaren Optionen für Ihre Konfiguration und Ihre Anforderungen zu erfahren.
    • Linux-Anbieter haben bereits mit der Bereitstellung von BS-Patches für AMD Systeme begonnen und wir arbeiten im Hinblick auf den Zeitplan für die Bereitstellung der Microsoft-Patches eng mit Microsoft zusammen. Darüber hinaus arbeiten wir mit der Linux-Community eng an der Entwicklung der Software-Entschärfungsmaßnahme „Return Trampoline“ (Retpoline) zusammen.
  • GPZ Variant 3 (Rogue Data Cache Load oder Meltdown) betrifft die AMD Prozessoren nicht.
    • Wir sind der Meinung, dass AMD Prozessoren aufgrund der Nutzung des Schutzes auf Berechtigungsebene innerhalb der Paging-Architektur hierfür nicht anfällig sind, so dass hier keine Entschärfungsmaßnahme erforderlich ist.

Darüber hinaus sind Fragen zu GPU-Architekturen aufgekommen. Die GPU-Architekturen von AMD Radeon nutzen keine „Speculative Execution“ und sind daher nicht anfällig für diese Bedrohungen.

Ggf. stellen wir auf dieser Seite weitere Updates bereit. AMD arbeitet zwischenzeitlich weiter eng mit dem Rest der Branche an der Entwicklung von Entschärfungslösungen zum Schutz unserer Benutzer vor den aktuellen Sicherheitsbedrohungen zusammen.

Mark Papermaster,
Senior Vice President und Chief Technology Officer

Informationssicherheit hat bei AMD Priorität

03.01.2018

In der Presse wurde jüngst über ein potenzielles Sicherheitsproblem im Zusammenhang mit modernen Mikroprozessoren und der spekulativen Befehlsausführung (Speculative Execution) berichtet. Die Informationssicherheit hat bei AMD Priorität und unsere Sicherheitsarchitekten verfolgen das Technologieumfeld aufmerksam auf neue Bedrohungen.

In wie weit sich die aufgedeckten Sicherheitslücken bei der spekulativen Befehlsausführung auf Produkte von AMD beziehen, muss genau betrachtet und verstanden werden. Beachten Sie dabei Folgendes:

  • Die beschriebenen Untersuchungen wurden in einer kontrollierten, eigenen Laborumgebung von einem Team aus Experten durchgeführt. Hierbei wurde auf detaillierte, nicht öffentlich zugängliche Informationen über die jeweiligen Prozessoren zurückgegriffen.
  • In der Praxis wurde die beschriebene Bedrohung bis dato noch nicht im öffentlichen Raum festgestellt.

Als AMD von der Entdeckung eines neuen CPU-Angriffs erfuhr, der auf die von mehreren Chip-Anbietern eingesetzte Funktionalität der spekulativen Befehlsausführung abzielt, haben wir uns unmittelbar innerhalb unseres Technologienetzwerks ausgetauscht, um die Ergebnisse der Teams zu ermitteln.

Das Forschungsteam hat im Rahmen der Forschungen zur spekulativen Befehlsausführung drei Varianten identifiziert. In der folgenden Tabelle sind die spezifischen Varianten, die ausgemacht wurden, sowie die jeweiligen Antworten von AMD genauer beschrieben.

Matrix zu Varianten/Antworten von AMD

  Forschungstitel von Google Project Zero (GPZ) Details
Variant One Bounds Check Bypass Behoben durch von Systemanbietern und Herstellern zur Verfügung zu stellende Software-/Betriebssystem-Updates. Geringfügige Leistungseinbußen zu erwarten.
Variant Two Branch Target Injection Designunterschiede in der AMD Architektur bedeuten, dass das Risiko für einen Exploit auf Basis dieser Variante gegen Null geht. Bis dato konnte für Prozessoren von AMD keine Anfälligkeit für Variante 2 nachgewiesen werden.
Variant Three Rogue Data Cache Load Aufgrund von Unterschieden in der Prozessorarchitektur von AMD ist diese Sicherheitslücke bei AMD nicht gegeben.

Da sich die Sicherheitslandschaft kontinuierlich weiterentwickelt, stellen die Zusammenarbeit und der Informationsaustausch in der Branche die beste Verteidigung dar.

Ein totaler Schutz vor allen Möglichkeiten für Angriffe bleibt dennoch ein schwer zu erreichendes Ziel. Doch dieses jüngste Beispiel zeigt, wie effektiv die Zusammenarbeit innerhalb der Branche sein kann.

Wie immer empfiehlt AMD seinen Kunden dringend, durchweg sichere Computing-Verfahren zu beachten, so zum Beispiel Folgendes: kein Klicken auf nicht erkannte Hyperlinks, Einhaltung starker Passwortprotokolle, Nutzung sicherer Netzwerke und Durchführung der regelmäßigen Software-Updates.