AMD und Intel stopfen zahlreiche Sicherheitslücken

Diverse Sicherheitslücken betreffen Hard- und Software von AMD und Intel. Im August stellen beide Hersteller Updates und teils lediglich Informationen dazu bereit. Einige können und sollten Nutzerinnen und Nutzer installieren, für andere sind die Hardwarehersteller in der Pflicht.

Lückenhafte AMD-Hard- und -Software

Mehrere Sicherheitslücken in den GPUs und in den Prozessoren integrierten Pendants von AMD erreichen teils hochriskanten Status. In der Tabelle der Sicherheitsmeldung listet AMD die einzelnen Schwachstellen auf – die bisweilen bis ins Jahr 2021 zurückreichen. Für Data-Center-Graphics-Produkte verteilt AMD teilweise seit September 2024 aktualisierte Treiber, die die Probleme lösen. Für die Endanwender-GPUs stehen für Teile der Lücken bereits seit 2023 Treiber-Updates bereit, die aktuelleren Lücken scheinen jedoch erst jene Treiber zu schließen, die seit Ende Mai dieses Jahres bereitstehen.

Die AMD-Client-Prozessoren weisen ebenfalls diverse Schwachstellen auf, die etwa den System Management Mode (SMM), AMD Security Processor (ASP) und weitere Komponenten betreffen. Hier reichen die Sicherheitsmeldungen aus dem August 2025 ebenfalls teils bis 2021 zurück. Sie betreffen unter anderem Prozessoren der Ryzen-2000-Reihe, jüngere zudem auch die neueren Prozessoren bis hin zur Ryzen AI 300-Baureihe. Diverse Firmware-Microcode-Versionen stehen dafür bereit, die etwa Mainboard-Hersteller in ein BIOS-Update verpflanzen müssen.

Die Serverprozessoren von AMD kommen glimpflicher davon, hier meldet das Unternehmen deutlich weniger Sicherheitslücken, von denen lediglich zwei ein hohes Risiko darstellen. Eine jüngere Lücke aus diesem Jahr ermöglicht lokalen Admins, bösartigen CPU-Microcode zu laden (CVE-2025-0032, CVSS 7.2, Risiko „hoch„). Außerdem können Angreifer mit physischem Zugriff und Ring0-Zugriffsrechten eine unzureichende Prüfung von Daten aus dem Speicherriegel-DIMM-SPD missbrauchen, um dem System Management Mode Code unterzujubeln (CVE-2024-36354, CVSS 7.5, Risiko „hoch„) – was jedoch nicht unbedingt trivial auszuführen klingt. Für diverse Epyc-Prozessoren von 4004 bis 9005 lösen Firmwareupdates das Problem.

AMD berichtet außerdem von einem Forschungspapier, in dem die Analysten dem Zen-4-PSP (Platform Security Processor) durch Aussetzen von Spannungsfehlern (Voltage Fault Injection, VFI) eigenen Code unterjubeln können. Dafür ist lokaler, physischer Zugriff nötig. „Physische Angriffe wie VFI liegen außerhalb des Bedrohungsmodells betroffener AMD-Produkte“, merkt der Hersteller dazu an, weshalb es dafür keine Lösung in Form von Updates gibt. Betroffen sind Epyc Zen 4 und deren Embedded-Geschwister sowie vorhergehende, die AMD Instinct MI-200-, MI-300- und MI-350-Reihe, Ryzen Zen 4 und vorherige, die Ryzen 9000HX- sowie 9000-er und die Embedded-Varianten mit Zen 4 und ältere Fassungen. Zudem Radeon RX 7000/6000/5000/VII/Vega, Radeon Pro W7000/6000/5000/VII/Vega und Radeon Pro V-Baureihen.

Zahlreiche Sicherheitsprobleme bei Intel-Produkten

In der Nacht zum Mittwoch hat auch Intel zahlreiche Sicherheitsmitteilungen veröffentlicht, mehr als 30 Stück insgesamt. Davon stechen lediglich einige mit ihrem Schweregrad „hohes Risiko“ heraus. Einige Intel-Ethernet-Treiber für Linux ermöglichen demnach das Ausweiten der Rechte am System, Informationsabfluss oder einen Denial-of-Service. Insbesondere im Kernel-Mode-Treiber für Ethernet-Karten der Intel-700-Series können angemeldete Angreifer Versionen vor der aktuellen 2.28.5 ihre Rechte ausweiten (CVE-2025-24486, CVE-2025-25273, CVSS 7.8, Risiko „hoch„; CVE-2025-21086, CVSS 7.5, Risiko „hoch„). Es handelt sich um Bestandteile der Xeon-D-2100-Prozessoren sowie C620-Chipsätze. Eine der Lücken mit niedrigerer Risikoeinstufung betrifft zudem die Versionen des Ethernet-Treibers für die I350-Baureihe und wird mit Version 5.19.2 oder neuer geschlossen.

Für die Intel-WLAN-Treiber für Wi-Fi 6E AX211, Wi-Fi 7 BE200, BE201 und BE202 stellt das Unternehmen zudem die aktualisierte Version 23.110.0.5 bereit. Angreifer können aufgrund unzureichender Zustandsprüfungen einen Denial-of-Service in den Vorgängerversionen provozieren (CVE-2025-20625, CVSS 7.4, Risiko „hoch„). In einigen IPUs und Chipsätzen können Angreifer ihre Rechte ausweiten, da eine Race-Condition zwischen einer Prüfung und der Nutzung einer nicht näher genannten Information in der Converged Security and Management Engine (CSME) besteht. Dadurch können angemeldete Nutzer ihre Rechte ausweiten (CVE-2025-20037, CVSS 7.2, Risiko „hoch„). Zwei etwas weniger gravierende Lücken betreffen zudem die Server Platform Services (SPS) und Active Management Technology (AMT) sowie Intel Standard Manageability. Die hochriskante Lücke betrifft die Intel Core Ultra-Prozessoren der Baureihen 1 und 2. Die Firmware-Updates auf Version 18.1.18, 19.0.5 sowie 20.0.5 bessern die Fehler aus.

Für die Probleme, die mit Treiberupdates lösbar sind, sollten Betroffene die aktualisierten Treiber herunterladen und installieren. Wo Firmwareupdates nötig sind, sollten sie hingegen die Hersteller-Webseiten ihrer Systeme konsultieren, ob dort etwa BIOS-Updates für ihre Systeme verfügbar sind.

(dmk)