AMD-Schwachstellen: Linus Torvalds kritisiert Sicherheitsfirma

Linux-Erfinder Linus Torvalds stellt die von der israelischen Sicherheitsfirma CTS Labs gemeldeten 13 Schwachstellen in Ryzen- und Epyc-Prozessoren von AMD in Frage. In einer auf Google+ geführten Diskussion unterstellt er, dass es sich nicht um Sicherheitslücken im eigentlichen Sinn handelt, sondern um ein Verfahren, mit dem jegliche CPUs als unsicher einzustufen sind.

„Wann haben Sie zuletzt eine Sicherheitswarnung gesehen, in der es eigentlich nur heißt ‚wenn Sie das BIOS oder den CPU-Microcode durch eine gefährliche Version ersetzen, haben Sie ein Sicherheitsproblem?'“, schreibt Torvalds.

Torvalds zufolge trägt die Sicherheitsbranche jedoch eine Mitschuld daran, dass selbst unbedeutende Sicherheitsanfälligkeiten aufgebläht und als schwerwiegende Probleme dargestellt würden. „Ein einprägsamer Name und eine Webseite scheinen heute für eine sensationsheischende Sicherheitsmeldung erforderlich zu sein.“ Die Branche habe es versäumt, den Forschern beizubringen, kritisch mit ihren Ergebnissen umzugehen.

„Die Sicherheitsleute müssen verstehen, dass sie sich lächerlich machen. Die gesamte Sicherheitsbranche muss sich eingestehen, dass einiges schief läuft, und sie sollten kritisches Denken ermutigen“, so Torvalds weiter.

Vor der Veröffentlichung der Ryzenfall, Fallout, Chimera und Master Key genannten Anfälligkeiten war CTS Labs in der Sicherheitsbranche eher unbekannt. Für Aufsehen sorgte das Start-up auch, weil es AMD nicht die branchenübliche Frist von 90 Tagen für die Behebung der Fehler gewährte – AMD informierte es nur rund 24 Stunden vor der Veröffentlichung über seine Erkenntnisse.

Stattdessen weihte das Unternehmen den Sicherheitsforscher Dan Guido, CEO von Trail of Bits, ein und bat ihn um eine unabhängige Bestätigung der Forschungsergebnisse. Er twitterte, dass die Fehler „echt“ seien und das der von CTS Labs entwickelte Schadcode funktioniere. Er räumte aber auch ein, dass ein Angreifer Administratorrechte benötige, um die Schwachstellen ausnutzen zu können.

Genau hier setzt Torvalds Kritik an. Ein Nutzer, der physischen Zugriff auf ein System sowie Administratorrechte hat, benötigt eigentlich keine zusätzlichen Sicherheitslücken, um weitere Änderungen an dem System vorzunehmen oder Daten zu stehlen, zu verändern oder zu löschen. Selbst wenn es sich um tatsächliche Fehler handelt, in der Praxis haben sie nahezu keine Bedeutung, weil sie sich eigentlich nur auf bereits kompromittierten Systemen ausnutzen lassen.

Obwohl Torvalds das Risiko der von CTS Labs gefundenen CPU-Bugs offenbar als gering einstuft, richteten sich seine Kommentare auch gegen die sofortige Offenlegung. Er vermutet sogar, dass das israelische Unternehmen unlautere Absichten hat. „Für mich sieht das eher wie eine Aktienmanipulation als eine Sicherheitswarnung aus“.

Tatsächlich brach der Kurs der AMD-Aktie im Verlauf des gestrigen Handelstags um 2,41 Prozent ein. Allerdings setzte sich damit auch eine Entwicklung der vergangenen Woche fort. Ende Januar kostete eine AMD-Aktie noch 13,74 Dollar. Gestern schloss das Papier mit einem Kurs von 11,36 Dollar. In den vergangenen 52 Wochen schwankte der Kurs zwischen 9,70 und 15,65 Dollar.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.