MÜNCHEN (IT BOLTWISE) – Die jüngste Entdeckung einer Sicherheitslücke in AMDs Epyc-Prozessoren hat die IT-Welt alarmiert. Forscher von Google haben eine Schwachstelle in der Signaturprüfung von Microcode-Updates aufgedeckt, die es Angreifern ermöglicht, die RAM-Verschlüsselung zu umgehen. Diese Funktion ist entscheidend für die Sicherheit virtueller Maschinen in Cloud-Umgebungen.
Die Sicherheitslücke in AMDs Epyc-Prozessoren hat weitreichende Implikationen für die Cloud-Sicherheit. Die Secure Encrypted Virtualization (SEV) Funktion, die eigentlich für die sichere Trennung virtueller Maschinen auf demselben Server sorgt, ist durch eine fehlerhafte Signaturprüfung von Microcode-Updates gefährdet. Diese Schwachstelle ermöglicht es, die RAM-Verschlüsselung auszuhebeln, was insbesondere für Confidential Computing von Bedeutung ist.
Google-Forscher haben einen Proof of Concept veröffentlicht, der zeigt, wie der RDRAND-Befehl manipuliert werden kann. Anstelle einer Zufallszahl liefert dieser Befehl konstant den Wert 4, was kryptografische Algorithmen schwächt und somit die Sicherheit der SEV-Funktion untergräbt. Diese Entdeckung ist besonders brisant, da Google selbst AMD SEV für die Synchronisation von Passkeys in der Google Cloud verwendet.
Um ein manipuliertes Microcode-Update auf einen Epyc-Prozessor zu laden, benötigt ein Angreifer Administratorrechte. Doch gerade Funktionen wie AMD SEV sollen verhindern, dass selbst Administratoren auf geschützte Daten zugreifen können. Diese Sicherheitsmechanismen sind essenziell, um Trusted Execution Environments (TEEs) zu schaffen, die einen kryptografisch nachweisbaren Betriebszustand bieten.
AMD hat bereits reagiert und erste BIOS-Updates bereitgestellt, um die Sicherheitslücke zu schließen. Diese Updates sind notwendig, damit die Remote Attestation für SEV-SNP korrekt funktioniert. Betroffen sind die Epyc-Baureihen 7001 bis 9004. Die Microcode-Updates können über Betriebssystem-Update-Funktionen verteilt werden, jedoch sind zusätzliche BIOS-Updates erforderlich.
Die Bedeutung dieser Sicherheitslücke ist nicht zu unterschätzen. Sie zeigt, wie wichtig es ist, dass Hersteller kontinuierlich an der Verbesserung ihrer Sicherheitsmechanismen arbeiten. Die Entdeckung und Behebung solcher Schwachstellen ist ein fortlaufender Prozess, der die Zusammenarbeit zwischen Forschungseinrichtungen und Unternehmen erfordert.
In der Zukunft wird es entscheidend sein, dass Unternehmen ihre Sicherheitsstrategien anpassen und auf dem neuesten Stand halten. Die Integration von Sicherheitsupdates sollte ein fester Bestandteil der IT-Infrastruktur sein, um derartige Risiken zu minimieren. Die Zusammenarbeit zwischen Hardware-Herstellern und Cloud-Anbietern wird dabei eine zentrale Rolle spielen.
☕︎ Unterstütze IT BOLTWISE® und trete unserem exklusiven KI-Club bei - für nur 1,99 Euro im Monat:
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Professor für Design, Strategien & KI (m/w/d)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Prozessmanager KI (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "AMD behebt kritische Sicherheitslücke in Epyc-Prozessoren" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "AMD behebt kritische Sicherheitslücke in Epyc-Prozessoren" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »AMD behebt kritische Sicherheitslücke in Epyc-Prozessoren« bei Google Deutschland suchen, bei Bing oder Google News!