Fr, 19. Oktober 2018

CPUs löchrig wie Käse

04.05.2018 10:12

Sicherheits-GAU bei Intel: Erste Patches im Mai

In den Chips von Intel klaffen neue gravierende Sicherheitslücken. Fünf Monate nach Bekanntwerden der schwerwiegenden Schwachstellen „Spectre“ und „Meltdown“ haben Forscher acht neue Sicherheitslücken in Intel-Prozessoren gefunden. Vier davon gelten als höchst riskant.

Jede der acht Lücken hat von Intel eine eigene Nummer im Verzeichnis der bekannten Sicherheitslücken bekommen (Common Vulnerability Enumerator, CVE), berichtet das Computermagazin „c’t“.

Intel will Probleme „verstehen und entschärfen“
Intel erklärte am Donnerstagabend, man arbeite routinemäßig „eng mit Kunden, Partnern, anderen Chipherstellern und Forschern zusammen, um alle identifizierten Probleme zu verstehen und zu entschärfen“. Teil dieses Prozesses sei die Reservierung von CVE-Nummernblöcken.

„Wir glauben fest an den Wert einer koordinierten Offenlegung und werden zusätzliche Details zu allen möglichen Problemen mitteilen, wenn wir die Abschwächung abschließen.“

Der Chiphersteller empfahl den Anwendern, ihre „Systeme auf dem neuesten Stand zu halten“, obwohl für die aktuellen Lücken noch gar keine Fehlerbereinigungen verfügbar sind.

Lücken erlauben Zugriff auf geschützte Bereiche
„Spectre“ und „Meltdown“ hebeln Sicherheitsmechanismen aus, die verhindern sollen, dass Programme beliebig Daten aus dem Speicher eines Computers abrufen können. Ist die Sicherung ausgetrickst, kann entsprechende Software auf eigentlich geschützte Speicherbereiche anderer Programme oder des Betriebssystems zugreifen und so zum Beispiel Passwörter und Krypto-Schlüssel auslesen.

Einige der neuen Lücken („Spectre Next Generation“, kurz „Spectre NG“) sollen von Sicherheitsforschern im Google-Projekt Zero aufgedeckt worden sein. Die Google-Hacker haben in der Vergangenheit mehrfach Schwachstellen veröffentlicht, für die der betroffene Hersteller noch keine Fehlerbereinigungen („Patches“) fertig hatte.

Neue Lücken sind hochriskant für Cloud-Anbieter
Nach Einschätzung der „c‘t“ sind die neuen Angriffsszenarien ähnlich einzustufen wie bei den Lücken, die im vergangenen Jänner ans Licht der Öffentlichkeit kamen. „Eine der neuen Lücken vereinfacht jedoch Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotenzial deutlich höher einstufen als bei Spectre.“ Durch diese Lücke werde ein Angriff nicht mehr nur theoretisch möglich, sondern in der Praxis sehr vereinfacht.

Besonders betroffen seien Anbieter von Cloud-Diensten wie Amazon oder Cloudflare und natürlich deren Kunden„, erklärte Jürgen Schmidt, Sicherheitsexperte bei der “c‘t„. “Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.„ Die konkrete Gefahr für Privatleute und Firmen-PCs sei hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gebe. “Auch wenn es keinen Grund zur Panik gibt, muss man die neuen Sicherheitslücken ernst nehmen."

Erste Patches sind noch im Mai zu erwarten
Wann die ersten Patches für die neuen Spectre-Lücken kommen, ist bisher nicht klar. „Anscheinend plant Intel zwei Patch-Wellen“, sagte Schmidt. „Eine erste soll bereits im Mai anrollen; eine zweite ist für August angedacht.“ Vier der neuen Sicherheitslücken stufe Intel selbst mit einem hohen Risiko ein, die Gefahr der anderen vier werde mit „mittel“ bewertet.

Sind auch Chips von AMD betroffen?
Unklar ist momentan noch, ob die Lücken auch Prozessoren des Intel-Rivalen AMD und womöglich sogar Mobilprozessoren in Smartphones mit ARM-Architektur betreffen. Bei den ersten beiden Lücken, die heuer in Intel-CPUs entdeckt wurden, stellte sich nach kurzer Zeit heraus, dass zumindest eine von ihnen auch AMD- und ARM-Chips betraf. Es handelte sich allerdings um die weniger gefährliche.

Insgesamt zeigten die neuen Lücken, dass „Spectre“ und „Meltdown“ keine einmaligen Ausrutscher gewesen seien, die man mit ein paar Flicken nachhaltig stopfen könne. „Eine niemals endende Patch-Flut ist aber keine akzeptable Lösung dafür, dass Intel vor zwanzig Jahren Performance-Optimierungen ohne ausreichendes Sicherheitskonzept umgesetzt hat“, sagte Experte Schmidt. Er forderte, dass das CPU-Design grundsätzlich überdacht werden müsse, um eine stabile IT-Infrastruktur zu haben.

 krone.at
krone.at

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.