Permalänk
Medlem

AMD Sinkclose säkerhetshål

Ett allvarligt säkerhetshål som drabbar alla AMD processorer se till att uppdatera BIOS så fort moderkort tillverkarna släpper en ny BIOS uppdatering med en säkerhets fix.

Risken att drabbas är liten just nu då det kräver att datorn redan är hackad och tillgång till Ring 0 men ifall man drabbas så är det i princip bara att kassera datorn för en vanlig användare.

https://www.wired.com/story/amd-chip-sinkclose-flaw/
https://www.amd.com/en/resources/product-security/bulletin/am...

Visa signatur

i5 10600K, Z490 Tomahawk, Corsair RMX750, GTX 1060 6GB

Permalänk
Medlem
Skrivet av Anders9110:

Ett allvarligt säkerhetshål som drabbar alla AMD processorer se till att uppdatera BIOS så fort moderkort tillverkarna släpper en ny BIOS uppdatering med en säkerhets fix.

Risken att drabbas är liten just nu då det kräver att datorn redan är hackad och tillgång till Ring 0 men ifall man drabbas så är det i princip bara att kassera datorn för en vanlig användare.

https://www.wired.com/story/amd-chip-sinkclose-flaw/
https://www.amd.com/en/resources/product-security/bulletin/am...

Vet inte vad det står i Wired-artikeln (paywall) men här finns iaf ett tillgängligt alternativ med lite bakgrundsinformation:
https://www.bleepingcomputer.com/news/security/new-amd-sinkcl...

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Så om jag fattat det rätt så räcker det med att man laddar ner en ''anti cheat'' klient så finns risken att man är utsatt? Låter inte bra.

Visa signatur

''Man får betala för kvalitet och stabilitet'' //Pantburk 2024.

Permalänk
Hedersmedlem
Skrivet av Ryzer:

Så om jag fattat det rätt så räcker det med att man laddar ner en ''anti cheat'' klient så finns risken att man är utsatt? Låter inte bra.

Ja, fast på samma vis finns risken att bli utsatt om man laddar ner en drivrutin. I båda fallen måste de ha säkerhetshål som hackare utnyttjar, eller att utvecklaren av anticheat/drivrutin är onda aktörer.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem

I praktiken lär det räcka med administratör/root, eftersom sådana användare får installera drivrutiner/kernel-moduler. På Windows behöver man i praktiken då komma förbi AUC, eftersom de flesta privatpersoner kör med admin-rättigheter av bekvämlighetsskäl. Situationen på *nix är ungefär samma, fast med sudo-rättigheter.

Så i praktiken vilken installation som helst som godkänns av användaren skulle kunna innehålla en exploit

Använd bara open source från repos som har reproducerbara byggen, byggt från känd git-hash för att minska risken.

Permalänk
Medlem

Blir ingen fix för 3000-serien.

Permalänk
Medlem
Permalänk
Medlem

Når de så långt att de kan installera skiten så kan de redan göra var de vill. Så varför bry sig? Skulle väl vara om man köper begagnat.

Permalänk
Medlem

Blir inte det här lite att släcka elden i onödan?

Artikeln får det lite att framstå som att den skadliga koden skulle kunna läggas i processorn före datorn ens startat. Nog för att man skulle kunna ha förenklade instruktioner för att snabba upp vanliga åtgärder där man endast ger kordinat i stället för att berätta allt.

Skulle inte sådant ändå hamna på OS-nivå? Eller skulle det godtyckligt kunna hamna hamna hos CPU / GPU.

Vet att acceleration av musen kan gå till GPU och snabbas upp och där hårdvaran själv ritar pekaren.

Eller tänker jag på helt andra saker? Vad gör säkerhetshålet rent konkret?

Rent tekniskt är ett kommando som raderar filer eller krypterar en disk också farligt.

Visa signatur

Server: Fractal design Define 7 XL | AMD Ryzen 7 5800X 8/16 | ASUS ROG CROSSHAIR VIII DARK HERO | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 21.3 Cinnamon

Permalänk
Medlem
Skrivet av filbunke:

Blir ingen fix för 3000-serien.

<Uppladdad bildlänk>

Sitter på en 3900X så det var surt.

Visa signatur

//Gelantious
I heard life sucks, that''s why I''m glad I don''t have one.

Permalänk
Medlem

Så säkerhetsuppdateringarna som redan är släppta kommer via Windows Update eller är det bios?

Visa signatur

JJ2 Multiplayer
JJ2 ZStats

[1] Ryzen 5800X | 5500XT | Kingston A2000 | Lenovo G24-10 144Hz [2] Ryzen 5700G | RX 480 | WD Blue SN550 [3] Ryzen 5600G | Kingston A2000 [4] Ryzen 3600 | GT 740 | 850 EVO [5] Ryzen 3600 | Geforce 405 | 850 EVO (alla är i bruk)

Permalänk
Medlem
Skrivet av maweric:

Så säkerhetsuppdateringarna som redan är släppta kommer via Windows Update eller är det bios?

Alla uppdateringar listade på https://www.amd.com/en/resources/product-security/bulletin/am... är antingen nya AGESA-versioner (eller motsvarande "PI" för EPYC), eller vad gäller EPYC även alternativet separat distribuerad mikrokod.

Dvs, på konsumentprylar UEFI-uppdatering ("BIOS") som innehåller ny AGESA-version.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem
Skrivet av Aleshi:

Når de så långt att de kan installera skiten så kan de redan göra var de vill. Så varför bry sig? Skulle väl vara om man köper begagnat.

Nja. Det finns värre nivår än rootaccess. T.ex. kan du genom en maskin knäcka ett helt Datacenter med en sådan här sårbarhet.

Edit: I och med att denna sårbarhet är nere på hårdvarunivå borde den kunna "bryta sig ur" en virtuell maskin.

Visa signatur

öh öh har den äran!

Permalänk
Hedersmedlem
Skrivet av Dumsnuten:

Nja. Det finns värre nivår än rootaccess. T.ex. kan du genom en maskin knäcka ett helt Datacenter med en sådan här sårbarhet.

Hur då?

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem
Skrivet av Aleshi:

Når de så långt att de kan installera skiten så kan de redan göra var de vill. Så varför bry sig? Skulle väl vara om man köper begagnat.

Man bryr sig därför att till skillnad från de flesta säkerhetshål, så låter det här en attackerare att installera skadlig kod som inte går att bli av med ens om man ominstallerar hela systemet från scratch.

Det kan man normalt inte göra ens om man kör som root/administratör.

Permalänk
Medlem

Så det går att fixa om AMD 1) bedömer det värt att släppa en fix för en viss CPU och 2) UEFI/BIOS uppdateras?

Känns som att en del kommer att gå med rumpan bar framöver.

Jag tycker att MB-tillverkare är rätt sopiga på att uppdatera UEFI/BIOS mer än något enstaka år. Dock tycks det, för mig, vara så att mina AMD-processorer är så gamla att de inte är drabbade.

Visa signatur

ASUS P8Z68-v Pro i7 2600K@4.5, 32GB RAM, RX 580, 4K Samsung u24e590, Intel SSD, Seagate SSHD, LG BH16NS55 BD/RW, MacOS Sonoma, Win 10+11, Linux Mint
***gamla grejor duger***
Macbook Pro 2009, 8GB RAM, SSD, MacOS Catalina + Windows 10; Macbook Pro 2015 16GB RAM 512GB SSD Radeon Mojave

Permalänk
Medlem

Så alla Ryzenprocessorer från 1x00 upp till 7x00 är drabbade eller?

Permalänk
Medlem
Skrivet av Pirum:

Så det går att fixa om AMD 1) bedömer det värt att släppa en fix för en viss CPU och 2) UEFI/BIOS uppdateras?

Känns som att en del kommer att gå med rumpan bar framöver.

Jag tycker att MB-tillverkare är rätt sopiga på att uppdatera UEFI/BIOS mer än något enstaka år. Dock tycks det, för mig, vara så att mina AMD-processorer är så gamla att de inte är drabbade.

Är tvärtom bara Zen 5 verkar vara opåverkad i övrigt så är alla AMD processorer från 2006 till Zen4 drabbade AMD verkar dock inte släppa någon fix för äldre desktop processorer.

Visa signatur

i5 10600K, Z490 Tomahawk, Corsair RMX750, GTX 1060 6GB

Permalänk
Medlem

Ja! Det här var nog det sista säkerhetshålet!
Bara sätta en plugg sweitcherosten och tro att man är säker

Visa signatur

r_wateralpha 0.3

Permalänk
Expertgissare

Sitter med en 3700X och hade inga planer eller behov av att byta, så jag hoppas verkligen de ändrar sig angående 3000 serien.

Visa signatur

FD Meshify C -|- X570 AORUS ELITE -|- Ryzen 7 3700X -|- FD Celsius S24 -|- Crucial Ballistix Sport 32GB -|- Radeon RX 570 -|- WD Black SN750 1TB

Permalänk
Medlem
Skrivet av Tauri85:

Så alla Ryzenprocessorer från 1x00 upp till 7x00 är drabbade eller?

AMD och bleeping computer listar inte 1x00 eller 2x00 desktop,
det kanske kommer ytterligare analyser, kanske låg detta i det som kallades "pro" för adminfinktioner och enterprise vilket skulle kunna ha lagts till efter 2x00

Permalänk
Medlem
Skrivet av Anders9110:

Är tvärtom bara Zen 5 verkar vara opåverkad i övrigt så är alla AMD processorer från 2006 till Zen4 drabbade AMD verkar dock inte släppa någon fix för äldre desktop processorer.

Kanske missuppfattat något men ser inte något om att det skulle gälla alla AMD från 2006 till zen4? Verkar ju vara specifika serier specifierade.

According to AMD's advisory, the following models are affected:

EPYC 1st, 2nd, 3rd, and 4th generations
EPYC Embedded 3000, 7002, 7003, and 9003, R1000, R2000, 5000, and 7000
Ryzen Embedded V1000, V2000, and V3000
Ryzen 3000, 5000, 4000, 7000, and 8000 series
Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, and 7000 Mobile series
Ryzen Threadripper 3000 and 7000 series
AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
AMD Athlon 3000 series Mobile (Dali, Pollock)
AMD Instinct MI300A

Nyfiken på att de skrivit "no fix planned" för Ryzen 3000- undrar om de bios updates som då ger fixen för Ryzen 5000 inte gör samma för 3000? Man kan tolka det som att de, av någon anledning, väljer att ignorera 3000-serien vilket låter helt vansinnigt om den faktiskt är påverkad.
Kan å andra sidan se att till exempel msi släppt patchat bios så långt bak som till A320 kort, men då är frågan om detta betyder att de i sådant fall bara innehåller fixes för dem som då kör Ryzen 5000 på A320?

Visa signatur

Gamingrigg: MEG x570 ACE, 5950X, Ripjaws V 32GB 4000MT/S CL16, 6800XT Red Devil LE, HX1200i.
Laptop: XPS 9570 x GTX 1050 x 8300h + 16GB Vengeance 2666Mhz + Intel AX200
Valheim server: i7-8559 + Iris Plus 655 + 32GB + 256GB
Printers? Yes. Ender 5, Creality LD-002R, Velleman VM8600, Velleman K8200

Permalänk
Medlem
Skrivet av Shiprat:

Kanske missuppfattat något men ser inte något om att det skulle gälla alla AMD från 2006 till zen4? Verkar ju vara specifika serier specifierade.

According to AMD's advisory, the following models are affected:

EPYC 1st, 2nd, 3rd, and 4th generations
EPYC Embedded 3000, 7002, 7003, and 9003, R1000, R2000, 5000, and 7000
Ryzen Embedded V1000, V2000, and V3000
Ryzen 3000, 5000, 4000, 7000, and 8000 series
Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, and 7000 Mobile series
Ryzen Threadripper 3000 and 7000 series
AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
AMD Athlon 3000 series Mobile (Dali, Pollock)
AMD Instinct MI300A

Nyfiken på att de skrivit "no fix planned" för Ryzen 3000- undrar om de bios updates som då ger fixen för Ryzen 5000 inte gör samma för 3000? Man kan tolka det som att de, av någon anledning, väljer att ignorera 3000-serien vilket låter helt vansinnigt om den faktiskt är påverkad.
Kan å andra sidan se att till exempel msi släppt patchat bios så långt bak som till A320 kort, men då är frågan om detta betyder att de i sådant fall bara innehåller fixes för dem som då kör Ryzen 5000 på A320?

Ja, rimligen betyder det just detta.

Om "no fix planned" innebär att AMD *valt* att inte fixa det, eller om det inte går att fixa, eller vad nu bakgrunden är... det kan vi ju bara spekulera kring. Men uppenbart finns det ju i nuläget ingen fix för Ryzen 3000 tillgänglig från AMD, och MSI i ditt exempel kan ju inte trolla med knäna.

Vad gäller specifikt MSI så vill jag dock uppmärksamma att de i dagarna fixat ett helt eget SMM-relaterat problem (på både Intel- och AMD-baserade MSI-kort), bara så det inte blandas ihop (jag har inte själv sett MSI släppa uppdatering med AGESA ComboAM4v2PI 1.2.0.cb ännu, men kan förstås ha missat något).
Se: https://jjensn.com/at-home-in-your-firmware/ / #20547225 för MSIs egna SMM-problem som är skilt från det den här tråden handlar om.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem
Skrivet av Shiprat:

Kanske missuppfattat något men ser inte något om att det skulle gälla alla AMD från 2006 till zen4? Verkar ju vara specifika serier specifierade.

According to AMD's advisory, the following models are affected:

EPYC 1st, 2nd, 3rd, and 4th generations
EPYC Embedded 3000, 7002, 7003, and 9003, R1000, R2000, 5000, and 7000
Ryzen Embedded V1000, V2000, and V3000
Ryzen 3000, 5000, 4000, 7000, and 8000 series
Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, and 7000 Mobile series
Ryzen Threadripper 3000 and 7000 series
AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
AMD Athlon 3000 series Mobile (Dali, Pollock)
AMD Instinct MI300A

Nyfiken på att de skrivit "no fix planned" för Ryzen 3000- undrar om de bios updates som då ger fixen för Ryzen 5000 inte gör samma för 3000? Man kan tolka det som att de, av någon anledning, väljer att ignorera 3000-serien vilket låter helt vansinnigt om den faktiskt är påverkad.
Kan å andra sidan se att till exempel msi släppt patchat bios så långt bak som till A320 kort, men då är frågan om detta betyder att de i sådant fall bara innehåller fixes för dem som då kör Ryzen 5000 på A320?

Det är den ursprungliga rapporten om säkerhetshålet som sagt att det är kretsar från 2006 och kanske ännu äldre som är drabbade. AMD listar dock bara processorer från t.ex. Ryzen 3000 och säger att äldre modeller "fall outside of the software support window". D.v.s. AMD listar inte alla modeller som är drabbade, bara de modeller som de fortfarande ger support för.

Permalänk
Medlem
Skrivet av perost:

Det är den ursprungliga rapporten om säkerhetshålet som sagt att det är kretsar från 2006 och kanske ännu äldre som är drabbade. AMD listar dock bara processorer från t.ex. Ryzen 3000 och säger att äldre modeller "fall outside of the software support window". D.v.s. AMD listar inte alla modeller som är drabbade, bara de modeller som de fortfarande ger support för.

Ja, att alla generationer av EPYC är påverkade skvallrar väl om samma sak.

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Har jag förstått det hela rätt att det skulle gå att installera programvara på själva processorn även om den blir strömlös?

Finns det ens något sådant utrymme att lagra programvara i en cpu eller har jag missförstått detta?

Visa signatur

AMD 3700x, 1700 GB SSD, 18 TB HDD, 32 GB RAM, MSI RTX3070, Dubbla Blueray brännare.

Permalänk
Medlem
Skrivet av Gelantious:

Sitter på en 3900X så det var surt.

https://youtu.be/pVRa3xdO2cE

Sitter på en 2700X och det känns också surt...

Permalänk

Finns fasen ingen PC-hårdvara man kan äga som man kan känna sig trygg med?

Permalänk
Medlem

Att komma åt Ring -2 är rena stuxnetfasoner. Vad kommer näst? Revelationer att nationsstater aktiverat fabriks inaktiverade cores på ovetande privatpersoners datorer och kört botnät på dem i 20 års tid?

Permalänk
Medlem
Skrivet av stoffe_83:

Har jag förstått det hela rätt att det skulle gå att installera programvara på själva processorn även om den blir strömlös?

Finns det ens något sådant utrymme att lagra programvara i en cpu eller har jag missförstått detta?

Man kan inte installera programvara på processorn men så länge moderkortet har ström även om datorn är avstängd kan man teoretiskt sett köa upp ett skript som sedan körs när användaren sätter på datorn. Detta görs via moderkortets nätverksnic och Intel Management Engine eller AMDs motsvarighet och därefter skriver det sin payload till UEFI bios , bootsector eller OS. Kolla bara baktil på en stationär dator och du kan se nätverksnicen blinka om en nätberkskabel är inkopplad även om datorn är avstängd.