Hardware-Sicherheitslücken: Intel schloss 2021 mehr als 200 Schlupflöcher
113 Sicherheitslücken entdeckte Intel 2021 selbst, 97 wurden über das bezahlte Bug-Bounty-Programm gefunden. Letzteres weitet die Firma aus.
(Bild: Mark Mantel / heise online)
Intel zeigt sich zuversichtlich: Im Jahr 2021 wurden weniger Sicherheitslücken in der eigenen Hardware gefunden als noch in den zwei Jahren zuvor, wenn auch nur knapp mit einem Abstand von 226 (2021) zu 231 (2020) zu 236 (2019). An der Entdeckung der meisten Fehler war Intel selbst beteiligt, zum einen durch eigene Forschungsteams, zum anderen mit einem bezahlten Bug-Bounty-Programm.
Die meisten Sicherheitslücken betrafen die eigenen integrierten Grafikeinheiten (52), Netzwerkkarten (34) sowie Software-Anwendungen (ebenfalls 34). Bei den Prozessoren kamen 22 neue hinzu, darunter eine gute Handvoll mit "hohem" Risiko.
Erfolgreiches Bug-Bounty-Programm
Innerhalb des Bug-Bounty-Programms bekommt man derweil zwischen 500 und 100.000 US-Dollar für das Melden einer Sicherheitslücke – je nachdem, wie schwerwiegend die Sicherheitslücke und wie umfangreich der Bericht ist. Mit dem Project Circuit Breaker will Intel die Zusammenarbeit mit der Security-Community fortan ausbauen. Innerhalb dieses Programms finden monatelange Events statt, in denen Intel bestimmte Hardware verteilt und mit Forschenden zusammenarbeitet, um Sicherheitslücken zu finden – ebenfalls mit Geldbelohnungen. Los geht es mit nicht mehr ganz aktueller Hardware: Tiger-Lake-Prozessoren aus der vergangenen Generation Core i-11000.
Im Bericht zu 2021 resümiert Intel, dass die Hälfte der 226 geschlossenen Sicherheitslücken intern gefunden wurde. Auf weitere 97 Sicherheitslücken machten Dritte über das Bug-Bounty-Programm aufmerksam. Die restlichen 16 Sicherheitslücken meldeten etwa Universitäten ohne Beteiligung seitens Intels.
Insbesondere Intels Converged Security and Mangement Engine (CSME) steht inzwischen deutlich besser da als in den vorangegangenen Jahren, als die proprietäre Security-Hardware aufgrund schwerwiegender Lücken wiederholt ihr Fett wegbekam. Damals firmierte die CSME noch unter dem Namen Intel Management Engine (IME). Im Jahr 2021 machte Intel sechs Sicherheitslücken mit "mittlerem" Risiko ausfindig, von extern wurde keine einzige gemeldet.
Intel-Statistiken zu gefundenen Sicherheislücken im Jahr 2021 (9 Bilder)
Seitenhiebe an AMD
Ein Seitenhieb an AMD darf in einer Intel-Präsentation mit Statistiken natürlich nicht finden. Intel hebt hervor, dass 2021 mehr Sicherheitslücken in AMD-Prozessoren gefunden wurden (31), als Intel bei den eigenen meldete (16 + 6 extern entdeckte). Bei den GPUs steht es 51 (Intel) zu 27 (AMD), allerdings merkt Intel in den Fußnoten an, dass 23 der eigenen Sicherheitslücken die zugekaufte AMD-Radeon-GPU der Prozessorbaureihe Kaby Lake-G (Core i-8000G) betreffen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(mma)
