AMD stellt klar: MS-Patch nur gegen Spectre auf AMD-Hardware

Verfasst vonOnkel_Dithmeyer

Gestern berich­te­ten wir über eine Rei­he Patches, die die soge­nann­te Melt­down-Lücke auf AMD-Sys­te­men schlie­ßen soll­te. Die­se führ­te auf man­chen älte­ren AMD-Com­pu­tern aus der Ath­lon-64-Ära zu Blue­screens beim Start. Den Feh­ler führ­te Micro­soft auf feh­ler­haft doku­men­tier­te AMD-Chip­sät­ze zurück. Dies sorg­te natür­lich für Ver­wir­rung, hat­te AMD kurz zuvor bekannt gege­ben, nicht von Melt­down betrof­fen zu sein.

Ent­ge­gen der Stel­lung­nah­me Micro­softs zu den Start­pro­ble­men soll es sich laut AMD nicht um einen Patch für Melt­down und Spect­re, son­dern nur um einen für Spect­re bzw. Vari­an­te 1 in der Goog­le Pro­ject Zero Nomen­kla­tur han­deln. Dem­nach ist der Arti­kel Micro­softs so feh­ler­haft wie viel­leicht manch eine Chip­satz­do­ku. Den genau­en Feh­ler, der zu dem Blue­screen führt, konn­te man uns indes nicht mit­tei­len, und so bleibt die­ser Punkt im Raum der Spekulation.

Micro­soft has just con­firm­ed issues with a series of Melt­down and Spect­re secu­ri­ty updates for Win­dows devices run­ning on AMD chip­sets, and the com­pa­ny tem­po­r­a­ri­ly pul­led all the­se patches to pre­vent fur­ther issues on the impac­ted computers.

Das passt dann auch wie­der zu AMDs Stel­lung­nah­me. Die­se ist bezüg­lich der Vari­an­te 2 Branch Tar­get Injec­tion, wel­che eben­falls zu Spect­re zählt, noch sehr vage for­mu­liert. So heißt es dort schlicht, dass die Angreif­bar­keit von AMD-Hard­ware nahe­zu null sei, es gäbe ja auch noch kei­ne Demons­tra­ti­on des Sze­na­ri­os auf AMD-Hard­ware. Bei Vari­an­te 3, wel­che als Melt­down bekannt ist, spricht AMD hin­ge­gen kla­re Wor­te: Kei­ne Anfäl­lig­keit wegen Architekturunterschieden.

  Goog­le Pro­ject Zero (GPZ) Rese­arch Title Details
Vari­ant One Bounds Check Bypass Resol­ved by soft­ware / OS updates to be made available by sys­tem ven­dors and manu­fac­tu­r­ers. Negli­gi­ble per­for­mance impact expected.
Vari­ant Two Branch Tar­get Injection Dif­fe­ren­ces in AMD archi­tec­tu­re mean the­re is a near zero risk of explo­ita­ti­on of this vari­ant. Vul­nerabi­li­ty to Vari­ant 2 has not been demons­tra­ted on AMD pro­ces­sors to date.
Vari­ant Three Rogue Data Cache Load Zero AMD vul­nerabi­li­ty due to AMD archi­tec­tu­re differences.

Auch bei der Vari­an­te 1, die von Micro­soft gepatched wer­den soll, han­delt es sich um eine Lücke, die laut AMD auf fast allen Sys­te­men durch die Vor­ein­stel­lung deak­ti­viert ist. Der Patch soll zu kei­ne spür­ba­ren Leis­tungs­ein­bu­ßen füh­ren. Unab­hän­gi­ge Tests auf AMD-Sys­te­men konn­ten wir bis­lang dazu nicht fin­den, noch konn­ten wir einen ent­spre­chen­den Test durchführen. 

Links zum Thema: