AMD-Schwachstellen: Linus Torvalds kritisiert Sicherheitsfirma

Linux-Erfinder Linus Torvalds stellt die von der israelischen Sicherheitsfirma CTS Labs gemeldeten 13 Schwachstellen in Ryzen- und Epyc-Prozessoren von AMD in Frage. In einer auf Google+ geführten Diskussion unterstellt er, dass es sich nicht um Sicherheitslücken im eigentlichen Sinn handelt, sondern um ein Verfahren, mit dem jegliche CPUs als unsicher einzustufen sind.

„Wann haben Sie zuletzt eine Sicherheitswarnung gesehen, in der es eigentlich nur heißt ‚wenn Sie das BIOS oder den CPU-Microcode durch eine gefährliche Version ersetzen, haben Sie ein Sicherheitsproblem?'“, schreibt Torvalds.

Torvalds zufolge trägt die Sicherheitsbranche jedoch eine Mitschuld daran, dass selbst unbedeutende Sicherheitsanfälligkeiten aufgebläht und als schwerwiegende Probleme dargestellt würden. „Ein einprägsamer Name und eine Webseite scheinen heute für eine sensationsheischende Sicherheitsmeldung erforderlich zu sein.“ Die Branche habe es versäumt, den Forschern beizubringen, kritisch mit ihren Ergebnissen umzugehen.

„Die Sicherheitsleute müssen verstehen, dass sie sich lächerlich machen. Die gesamte Sicherheitsbranche muss sich eingestehen, dass einiges schief läuft, und sie sollten kritisches Denken ermutigen“, so Torvalds weiter.

Vor der Veröffentlichung der Ryzenfall, Fallout, Chimera und Master Key genannten Anfälligkeiten war CTS Labs in der Sicherheitsbranche eher unbekannt. Für Aufsehen sorgte das Start-up auch, weil es AMD nicht die branchenübliche Frist von 90 Tagen für die Behebung der Fehler gewährte – AMD informierte es nur rund 24 Stunden vor der Veröffentlichung über seine Erkenntnisse.

Stattdessen weihte das Unternehmen den Sicherheitsforscher Dan Guido, CEO von Trail of Bits, ein und bat ihn um eine unabhängige Bestätigung der Forschungsergebnisse. Er twitterte, dass die Fehler „echt“ seien und das der von CTS Labs entwickelte Schadcode funktioniere. Er räumte aber auch ein, dass ein Angreifer Administratorrechte benötige, um die Schwachstellen ausnutzen zu können.

Genau hier setzt Torvalds Kritik an. Ein Nutzer, der physischen Zugriff auf ein System sowie Administratorrechte hat, benötigt eigentlich keine zusätzlichen Sicherheitslücken, um weitere Änderungen an dem System vorzunehmen oder Daten zu stehlen, zu verändern oder zu löschen. Selbst wenn es sich um tatsächliche Fehler handelt, in der Praxis haben sie nahezu keine Bedeutung, weil sie sich eigentlich nur auf bereits kompromittierten Systemen ausnutzen lassen.

Obwohl Torvalds das Risiko der von CTS Labs gefundenen CPU-Bugs offenbar als gering einstuft, richteten sich seine Kommentare auch gegen die sofortige Offenlegung. Er vermutet sogar, dass das israelische Unternehmen unlautere Absichten hat. „Für mich sieht das eher wie eine Aktienmanipulation als eine Sicherheitswarnung aus“.

Tatsächlich brach der Kurs der AMD-Aktie im Verlauf des gestrigen Handelstags um 2,41 Prozent ein. Allerdings setzte sich damit auch eine Entwicklung der vergangenen Woche fort. Ende Januar kostete eine AMD-Aktie noch 13,74 Dollar. Gestern schloss das Papier mit einem Kurs von 11,36 Dollar. In den vergangenen 52 Wochen schwankte der Kurs zwischen 9,70 und 15,65 Dollar.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago