Mehr als 30 Schwachstellen in AMD Ryzen- und EPYC-Prozessoren gefunden

AMD hat ein Update für die AGESA-Bibliothek für AMD Ryzen- und EPYC-Prozessoren veröffentlicht, das über drei Dutzend „Löcher“ in der UEFI-Firmware auf einer Reihe von Motherboards schließt. Es ist merkwürdig, dass das Unternehmen diesbezüglich keine offizielle Ankündigung gemacht hat: Die Liste der behobenen Schwachstellen wurde von Enthusiasten nach ihrem "stillen" Erscheinen auf der offiziellen Website veröffentlicht.

Drei der 31 gefundenen Schwachstellen betreffen die Desktop-Prozessoren Ryzen 2000, die mobilen Familien Raven Ridge und Cezanne, die Modelle der Serien Threadripper 2000 und 3000 sowie Ryzen 2000 , 3000, 5000, 6000 Pro und Linie Athlon 3000. Laut den Patchnotizen ermöglichen entdeckte "Lücken" im Code das Knacken der Motherboard-Firmware und den Zugriff auf den PC des Benutzers.

28 weitere Sicherheitsprobleme wurden in Systemen mit EPYC-Serverprozessoren gefunden. Drei von ihnen ermöglichen die Ausführung beliebigen Codes auf dem PC des Opfers, und der vierte eröffnet möglicherweise die Möglichkeit, Informationen auf Systempartitionen zu schreiben. 15 Schwachstellen wurden außerdem auf „Medium Threat“ hochgestuft.

AMD hat die Schwachstellen in Zusammenarbeit mit Google, Apple und Oracle gefunden. Die Ingenieure des Unternehmens haben die gefundenen Probleme behoben und die AGESA-Bibliothek modifiziert. Benutzern der in dieser Liste aufgeführten Chips wird empfohlen, ihre UEFI-Firmware auf die neueste Version zu aktualisieren, um das Risiko zu verringern, dass der PC gehackt wird.