Intel hat mit acht neuen Schwachstellen in Chips zu kämpfen
Bereits im vergangenen Jahr wurden mit „Spectre“und „Meltdown“zwei hochgefährliche Sicherheitslücken in Intel-Prozessoren entdeckt.
(dpa) In den Chips von Intel klaffen laut einem Bericht des Computermagazins „c’t“gravierende Sicherheitslücken. Fünf Monate nach Bekanntwerden der schwerwiegenden Schwachstellen „Spectre“und „Meltdown“hätten Forscher acht neue Sicherheitslücken in Intel-Prozessoren gefunden, berichtet das Magazin.
Jede der acht Lücken hat von Intel eine eigene Nummer im Verzeichnis der bekannten Sicherheitslücken bekommen (Common Vulnerability Enumerator, CVE). Intel erklärte, man arbeite „eng mit Kunden, Partnern, anderen Chipherstellern und Forschern zusammen, um alle identifizierten Probleme zu verstehen und zu entschärfen“. Der Chiphersteller rät Nutzern zwar, ihre „Systeme auf dem neuesten Stand zu halten“. Doch für die aktuellen Lücken sind noch überhaupt keine Sicherheitsupdates verfügbar.
„Spectre“und „Meltdown“hebeln Sicherheitsmechanismen aus, die verhindern sollen, dass Programme beliebig Daten aus dem Speicher eines Computers abrufen können. Ist die Sicherung ausgetrickst, kann entsprechende Software auf eigentlich geschützte Speicherbereiche anderer Programme oder des Betriebssystems zugreifen und so zum Beispiel Passwörter auslesen. Einige der neuen Lücken („Spectre Next Generation“) sollen von Sicherheitsforschern im Google-Projekt Zero aufgedeckt worden sein. Die Google-Hacker haben in der Vergangenheit mehrfach Schwachstellen veröffentlicht, für die der betroffene Hersteller noch keine Fehlerbereinigungen („Patches“) fertig hatte.
Nach Einschätzung der „c’t“sind die neuen Angriffsszenarien ähnlich einzustufen wie bei den Lücken aus dem vergangenen Januar. Eine der neuen Lücken vereinfache jedoch Angriffe über Systemgrenzen hinweg so stark, dass das Bedrohungspotenzial deutlich höher einzu stufen sei als bei „Spectre“. Durch diese Schwachstelle werde ein Angriff nicht mehr nur theoretisch möglich, sondern in der Praxis sehr vereinfacht. „Besonders betroffen sind Anbieter von Cloud-Diensten wie Amazon oder Cloudflare und deren Kunden“, erklärte Jürgen Schmidt, Sicherheitsexperte bei der „c‘t“. „Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.“
Wann die ersten Patches für die neuen Lücken kommen, ist bislang nicht klar. „Anscheinend plant Intel zwei Patch-Wellen“, sagt Schmidt. „Eine erste soll bereits im Mai anrollen, eine zweite ist für August angedacht.“Vier der neuen Sicherheitslücken stufe Intel selbst mit einem hohen Risiko ein, die Gefahr der anderen vier sei „mittelhoch“.