Intel fixt Sicherheitslücken und enthüllt nebenbei eine neue ZombieLoad-Variante
Seite 3: Verfügbare Microcode-Updates offenbar nicht ausreichend
Intel hat Microcode-Updates gegen TAA bereitgestellt und rät Anwendern dazu, aktuelle Betriebssystem-Updates beziehungsweise von Geräteherstellern veröffentlichte neue Firmware-Versionen zeitnah zu installieren.
In einem Interview mit der Tech-News-Webseite futurezone äußerte der an der ZombieLoad-Entdeckung beteiligte Sicherheitsforscher Daniel Gruss allerdings, dass der von Intel als Problemlösung präsentierte Microcode den Angriff zwar erschwere, aber nicht gänzlich verhindern könne. Seiner Einschätzung nach ist die einzige Lösung, die derzeit tatsächlich für vollständigen Schutz sorge, das Feature TSX gänzlich abzuschalten.
Intel selbst bestätigt diese Einschätzung im Blogpost zum Patch Tuesday: Es bestehe die Möglichkeit, dass (trotz Updates) weiterhin "gewisse Datenmengen" über Seitenkanäle via TAA abgegriffen werden könnten, sofern TSX aktiviert sei. Dieser Gefahr wolle man sich in künftigen Microcode-Updates annehmen.
Updates und Herstellerhinweise
(Abschnitt wird aktualisiert)
Aus Platzgründen führen wir hier lediglich Informationen zu den beiden als kritisch eingestuften Lücken sowie ZombieLoad v2 / TAA und iTLB Multihit auf.
CVE-2019-0169 & CVE-2019-11171:
- Lenovo
- SUSE: CVE-2019-0169 / CVE-2019-11171 (nicht betroffen, rein informativ)
CVE-2019-11135 alias ZombieLoad v2 sowie CVE-2018-12207 alias iTLB Multihit:
- Citrix Hypervisor
- Debian: CVE-2019-11135 und CVE-2018-12207
- Dell (mehrere der Intel-Lücken)
- HP (mehrere der Intel-Lücken)
- Lenovo (div. BIOS-Updates schließen mehrere der Intel-Lücken)
- Linux-Kernel: ZombieLoad & iTLB Multihit sowie Grafiktreiberlücke
- Microsoft
- Red Hat: CVE-2019-11135 und CVE-2018-12207
- SUSE: CVE-2019-11135 (außerdem CVE-2018-12207, CVE-2019-0155, CVE-2019-0154)
- Supermicro
- Thomas-Krenn
- Ubuntu
- VMware
tipps+tricks zum Thema:
(ovw)