Connect with us

Datenschutz & Sicherheit

AMD: Updates gegen Sicherheitslecks in Krypto-Coprozessor und TPM


AMD hat im Juni aktualisierte Firmware veröffentlicht, die teils hochriskante Sicherheitslücken in den Prozessoren schließt. Betroffen sind etwa die Krypto-Coprozessoren sowie das Firmware-TPM moderner Ryzen- und zum Teil auch der abgespeckten Athlon-CPUs.

In einem Sicherheits-Bulletin schreibt AMD, dass ein IT-Sicherheitsforscher eine Sicherheitslücke gemeldet hat, durch die Angreifer mit erhöhten Rechten auf die Register des Krypto-Coprozessors zugreifen können. Der ist Teil des AMD Secure Prozessor (ASP). Bei dem wiederum handelt es sich um einen integrierten Controller aller jüngeren Systems-on-Chip (SoCs), der ein Trusted Execution Environment (TEE) und eine in der Hardware verankerte Root of Trust bereitstellt und etwa den Systemstart absichert.

Durch unzureichende Zugriffskontrolle des ASP können der Beschreibung zufolge Angreifer unbefugt auf die Register des Krypto-Coprozessors des ASPs zugreifen. Das kann in den Verlust der Kontrolle über Pointer und Indizes kryptografischer Schlüssel führen, was einen „Verlust an Integrität und Vertraulichkeit“ bewirkt (CVE-2023-20599 / EUVD-2023-24778, CVSS 7.9, Risiko „hoch„).

Bemerkenswert: Am Abdichten der Schwachstelle hat AMD zwei Jahre gebastelt, die wurde bereits 2023 gemeldet. OEMs stellt AMD aktualisierte Firmware bereit, die Liste der betroffenen Prozessoren im Sicherheits-Bulletin bleibt überschaubar.

AMD: Schwachstelle in TPM-Referenzimplementierung betrifft CPUs

AMD stellt zudem ein Firmware-basiertes Trusted Platform Modul (fTPM) in vielen Prozessoren bereit. Es nutzt ebenfalls den ASP und setzt auf der TPM-2.0-Referenzimplementierung der Trusted Computing Group auf. In dieser Referenzumsetzung erlaubt eine Schwachstelle, über das Ende vorgesehener Speicherbereiche hinaus zu lesen, erörtert AMD in einer Sicherheitsnotiz. Apps im Usermode können bösartig präparierte Befehle an das fTPM schicken und damit darin abgelegte Daten auslesen oder „die Verfügbarkeit des TPM beeinflussen“, sprich, es zum Absturz bringen (CVE-2025-2884 / EUVD-2025-17717, CVSS 6.6, Risiko „mittel„). „AMD hat den Bericht der Trusted Computing Group untersucht und geht davon aus, dass AMDs Firmware-TPM von der Schwachstelle betroffen ist“, schreiben die Ingenieure weiter.

Zahlreiche AMD Ryzen-Desktop und -Mobilprozessoren, AI 300-CPUs, Ryzen-Embedded- und auch Threadripper-CPUs sind laut der Sicherheitsnotiz von der Schwachstelle betroffen. AMD stellt aktualisierte Firmware für OEMs bereit, die damit neue BIOS-Versionen für ihre Hardware erstellen und an Endverbraucher verteilen müssen. Das hat zum vergangenen Wochenende etwa Asus mit einem BIOS-Update für das Mainboard ROG Crosshair X870E Apex getan. Die aktualisierte Programmbibliothek AMD Generic Encapsulated Software Architecture (AGESA) enthält dort den korrigierten Firmware-Anteil ComboAM5 PI 1.2.0.3e, der die Lücke im fTPM des AMD Secure Prozessor respektive im Pluton-TPM der Ryzen-9000-Desktop-CPUs stopft. Für das MSI-Motherboard MEG X870E Godlike gab es kurzzeitig ebenfalls ein neueres BIOS mit Fehlerkorrektur, das hat der Hersteller inzwischen jedoch wieder zurückgezogen – Gründe dafür hat MSI nicht genannt. Für andere CPUs gibt es teilweise bereits seit September 2024 Firmware-Blobs für OEMs, die die erst jetzt bekannt gewordene Sicherheitslücke schließen.

Im April wurden Sicherheitslücken im Kontext von AMDs KI-Koprozessoren bekannt. Sie betrafen jedoch die Treiber dafür und nicht, wie in diesem Fall, die tieferliegende Firmware der CPUs.


(dmk)



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Trugbild: Community als Farce


Wer oft in der Kneipe sitzt, hört auch mal ein Stammtischgespräch mit. Die lautesten Stimmen prahlen da etwa mit ihrem „Fachwissen“ über das andere Geschlecht. Den Zuhörenden wird schnell klar, dass es bei den Schreihälsen privat eher einsam zugeht. Wer sich und anderen dauerhaft erzählt, wie gut er doch eine Sache beherrscht, der weist oft genau auf ebenjene Lücke hin, die es zu füllen gilt.

Dabei leben wir in einer Art Zwischenwelt, die (Ab-)Bilder von Erfahrungen, von Menschen und von Dingen prägen. Anders als an den Tresen dreschen hier Promis, Agenturen und Content Creator vor einem Millionenpublikum ihre Phrasen über „Community“ und „Authentizität“, über „Kreativität“, „Impact“ und „Awareness“.

Entfremdung und Opportunismus

„In einer Welt voller Brüche bauen wir echte Verbindungen“, lautet das Credo einer großen deutschen Marketingagentur. Wer das gleiche Produkt konsumiert, bildet keine „starke Gemeinschaft“. Im Gegenteil befördert die Beschwörung einer oberflächlichen „Community“ die Entfremdung des Einzelnen.

Mit „revealing my art“ betiteln „Künstler“ ihre Videos auf TikTok und Instagram und präsentieren den Zuschauern dann eine pechschwarze Leinwand. In Berlin kleiden sich Touristen betont abgerissen als Fashion- oder Fetisch-Punk („Recession Core“). In München, wo Secco und Sakko besser ankommen, inszeniert man sich dann lieber mit einem sauberen Look („Old Money Aesthetic“). Wie es eben passt.

Sie alle möchten sein, was sie in ihrem Opportunismus unmöglich sein können: authentisch. Nur leider reichen oft schon einige eilig hochgeladene Bilder, teuer zusammengekaufte Outfits oder schlagkräftige Slogans aus, um von anderen ernst genommen zu werden.

Bedeutungsvakuum im Blitzlicht

Doch Werbung, im kommerziellen wie im persönlichen Kontext, steht sich selbst im Weg. Die Werbenden entlarven vielmehr ihre eigene Unfähigkeit, das Gepriesene auch umzusetzen. Wer die eigene Kreativität in jedem zweiten Satz benennen muss, ist nicht kreativ. Und auch wenn wir weit davon entfernt sind: Unternehmen und Bessergestellte sollten sich den Zugang zu Subkulturen nicht einfach erkaufen können.


2025-07-14
1119.12
93


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Nun spielt sich unser Leben zunehmend in einem digitalen Las Vegas der grellen Blitzlichter und falschen Versprechungen ab. Ewige Jugend, ewige Schönheit, ewige Selbstoptimierung – durch Produkte, Work-outs und Business-Pläne.

Jeder Einzelne hat angeblich die gleichen Chancen, jeder kann der große Gewinner sein. Er muss es nur riskieren. Und hart genug arbeiten. Die schiere Endlosigkeit des Feeds spiegelt diese falsche Ideologie wider: ungezügelter Konsum, stetes Wachstum.

Hoher Tribut

Dass all das nicht stimmen kann, ist eigentlich klar. Wer dennoch gut leben will, muss aber lernen, diese Verdrehung der Wahrheit anzuerkennen und anzunehmen. Nur so lässt sich die Ambivalenz aushalten und bestenfalls meistern. Am Ende bringt der Sichtbarkeitsdrang auch die ehrlich Schaffenden dazu, ihr Werk und sich selbst durch das Nadelöhr der sozialen Medien zu verbildern und zu erzählen.

Doch die bedeutungslose Dauerberieselung mit schnelllebigen Botschaften fordert einen hohen Tribut. Die Menschen in diesem nihilistischen Show-Casino sehnen sich tatsächlich nach echter Gemeinschaft und starken Verbindungen. Das Bedeutungsvakuum verschafft regressiven Bewegungen und ihren Ideologien neuen Zulauf. Gegenüber der großen Leere und allgemeinen Ideenlosigkeit beschwören die alten Demagogen ihre totgeglaubten Werte mit neuem Erfolg: Nationalismus, Religion, Faschismus.

Der oberflächliche Erfolg der Bildermacher legt damit vor allem eines offen: Wie fragil das kulturelle und politische Fundament unserer Gegenwart ist.





Source link

Weiterlesen

Datenschutz & Sicherheit

Die Woche, in der sich die Überwachungspläne bei uns stapelten


Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Liebe Leser*innen,

in Berlin ist zwar die Ferienzeit angebrochen. Sommerliche Ruhe will aber nicht so recht einkehren. Denn auf unseren Schreibtischen stapeln sich die neuen Gesetzesentwürfe der Bundesregierung. Und die haben’s in sich.

Beispiele gefällig?

  • Staatstrojaner: Künftig soll die Bundespolizei zur „Gefahrenabwehr“ Personen präventiv hacken und überwachen dürfen, auch wenn „noch kein Tatverdacht begründet ist“.
  • Biometrische Überwachung: Bundeskriminalamt, Bundespolizei und das Bundesamt für Migration und Flüchtlinge sollen Personen anhand biometrischer Daten im Internet suchen dürfen. Auch Gesichter-Suchmaschinen wie Clearview AI oder PimEyes können sie dann nutzen.
  • Palantir: Bundeskriminalamt und Bundespolizei sollen Datenbestände zusammenführen und automatisiert analysieren dürfen. Das riecht gewaltig nach Palantir – was das Innenministerium in dieser Woche bestätigt hat.

Auch in vielen Bundesländern wird über Palantir diskutiert. In Baden-Württemberg sind die Grünen soeben umgekippt. Keine gewagte Prognose: Andere werden ihre Vorsätze auch noch über Bord werfen.

Die gute Nachricht: In allen drei Bundesländern, die Palantir einsetzen – Bayern, Hessen und Nordrhein-Westfalen -, sind jeweils Verfassungsbeschwerden gegen die Polizeigesetze anhängig. Und auch die Überwachungspläne der Bundesregierung verstoßen ziemlich sicher gegen Grundgesetz und EU-Recht. Wir bleiben dran.

Habt ein erholsames Wochenende!

Daniel


2025-07-14
1074.12
88


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 



Source link

Weiterlesen

Datenschutz & Sicherheit

Bauarbeiten und wie das Bargeld auf Reisen geht


Drei Menschen machen ein Selfie am Tisch
Martin, Sebastian und Chris im Studio. CC-BY-NC-SA 4.0 netzpolitik.org


Diese Recherche hat für enorm viel Aufsehen gesorgt: Über Monate hinweg hat sich Martin damit beschäftigt, wie Polizeibehörden, Banken und Unternehmen unser Bargeld verfolgen und was sie über die Geldströme wissen. Die Ergebnisse überraschten auch uns, denn sie räumen mit gängigen Vorstellungen über das vermeintlich anonyme Zahlungsmittel auf. Die Aufregung um diese Recherche rührt vielleicht auch daher, dass Behörden nicht gerne darüber sprechen, wie sie Bargeld tracken. Martin selbst spricht von einer der zähsten Recherchen seines Arbeitslebens.

Außerdem erfahrt ihr, wie wir solche Beiträge auf Sendung-mit-der-Maus-Niveau bringen und warum man aus technischen Gründen besser Münzen als Scheine rauben sollte. Wir sprechen darüber, wie wir trotz schlechter Nachrichten zuversichtlich bleiben und warum wir weitere Wände im Büro einziehen. Viel Spaß beim Zuhören!

Und falls wir es in dieser Podcast-Folge noch nicht oft genug erwähnt haben sollten: Wir freuen uns über Feedback, zum Beispiel per Mail an podcast@netzpolitik.org oder in den Ergänzungen auf unserer Website.

In dieser Folge: Martin Schwarzbeck, Sebastian Meineck und Chris Köver.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.

Links und Infos

Blattkritik

Thema des Monats



Source link

Weiterlesen

Beliebt