AMD-Schwachstellen: Linus Torvalds kritisiert Sicherheitsfirma

Linux-Erfinder Linus Torvalds stellt die von der israelischen Sicherheitsfirma CTS Labs gemeldeten 13 Schwachstellen in Ryzen- und Epyc-Prozessoren von AMD in Frage. In einer auf Google+ geführten Diskussion unterstellt er, dass es sich nicht um Sicherheitslücken im eigentlichen Sinn handelt, sondern um ein Verfahren, mit dem jegliche CPUs als unsicher einzustufen sind.

„Wann haben Sie zuletzt eine Sicherheitswarnung gesehen, in der es eigentlich nur heißt ‚wenn Sie das BIOS oder den CPU-Microcode durch eine gefährliche Version ersetzen, haben Sie ein Sicherheitsproblem?'“, schreibt Torvalds.

Torvalds zufolge trägt die Sicherheitsbranche jedoch eine Mitschuld daran, dass selbst unbedeutende Sicherheitsanfälligkeiten aufgebläht und als schwerwiegende Probleme dargestellt würden. „Ein einprägsamer Name und eine Webseite scheinen heute für eine sensationsheischende Sicherheitsmeldung erforderlich zu sein.“ Die Branche habe es versäumt, den Forschern beizubringen, kritisch mit ihren Ergebnissen umzugehen.

„Die Sicherheitsleute müssen verstehen, dass sie sich lächerlich machen. Die gesamte Sicherheitsbranche muss sich eingestehen, dass einiges schief läuft, und sie sollten kritisches Denken ermutigen“, so Torvalds weiter.

Vor der Veröffentlichung der Ryzenfall, Fallout, Chimera und Master Key genannten Anfälligkeiten war CTS Labs in der Sicherheitsbranche eher unbekannt. Für Aufsehen sorgte das Start-up auch, weil es AMD nicht die branchenübliche Frist von 90 Tagen für die Behebung der Fehler gewährte – AMD informierte es nur rund 24 Stunden vor der Veröffentlichung über seine Erkenntnisse.

Stattdessen weihte das Unternehmen den Sicherheitsforscher Dan Guido, CEO von Trail of Bits, ein und bat ihn um eine unabhängige Bestätigung der Forschungsergebnisse. Er twitterte, dass die Fehler „echt“ seien und das der von CTS Labs entwickelte Schadcode funktioniere. Er räumte aber auch ein, dass ein Angreifer Administratorrechte benötige, um die Schwachstellen ausnutzen zu können.

Genau hier setzt Torvalds Kritik an. Ein Nutzer, der physischen Zugriff auf ein System sowie Administratorrechte hat, benötigt eigentlich keine zusätzlichen Sicherheitslücken, um weitere Änderungen an dem System vorzunehmen oder Daten zu stehlen, zu verändern oder zu löschen. Selbst wenn es sich um tatsächliche Fehler handelt, in der Praxis haben sie nahezu keine Bedeutung, weil sie sich eigentlich nur auf bereits kompromittierten Systemen ausnutzen lassen.

Obwohl Torvalds das Risiko der von CTS Labs gefundenen CPU-Bugs offenbar als gering einstuft, richteten sich seine Kommentare auch gegen die sofortige Offenlegung. Er vermutet sogar, dass das israelische Unternehmen unlautere Absichten hat. „Für mich sieht das eher wie eine Aktienmanipulation als eine Sicherheitswarnung aus“.

Tatsächlich brach der Kurs der AMD-Aktie im Verlauf des gestrigen Handelstags um 2,41 Prozent ein. Allerdings setzte sich damit auch eine Entwicklung der vergangenen Woche fort. Ende Januar kostete eine AMD-Aktie noch 13,74 Dollar. Gestern schloss das Papier mit einem Kurs von 11,36 Dollar. In den vergangenen 52 Wochen schwankte der Kurs zwischen 9,70 und 15,65 Dollar.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

46 Minuten ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago