2022-1563: AMD Prozessoren: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2022-07-13 15:30)

Neues Advisory

Version 2 (2022-07-15 11:39)

AMD führt im hauseigenen Sicherheitshinweis jetzt auch den eigens gewählten Bezeichner CVE-2022-23816 für 'Retbleed' mit auf.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Netzwerk
Hypervisor

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

AMD empfiehlt zur Adressierung der Schwachstellen die Nutzung der veröffentlichten Mitigationen V2-1 ‘retpoline’ oder V2-4 ‘IBRS’. Benutzer von Linux-Systemen können während des 'Boot'-Vorgangs entscheiden, welche Mitigation genutzt wird.

AMD stellt über das White Paper 'TECHNICAL GUIDANCE FOR MITIGATING BRANCH TYPE CONFUSION' weitere Informationen zum Umgang mit den Schwachstellen bereit.

Die Schwachstellen betreffen nicht den Citrix Hypervisor selbst, sondern die zugrundeliegende Hardware. Citrix stellt Hotfixes als Sicherheitsupdates für Citrix Hypervisor 8.2 CU1 LTSR sowie Citrix XenServer 7.1 CU2 LTSR zur Verfügung, um die Schwachstellen zu mitigieren.

Schwachstellen:

CVE-2022-23816 CVE-2022-29900

Schwachstelle in AMD-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-23825

Schwachstelle in AMD-Prozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.