Patchday: Intel liefert Firmware-Updates
Intel muss in seiner Hard- und Software Sicherheitslücken mit teils hohem Risiko schließen. Dafür stehen jetzt unter anderem Firmware-Updates bereit.
(Bild: Alfa Photo/Shutterstock.com)
Auch bei Intel müssen die Entwickler Sicherheitslücken schließen – am Februar-Patchday hat der Konzern 24 Sicherheitsmeldungen zu Fehlern in den eigenen Produkten online gestellt. Dabei behandeln die Meldungen 76 CVEs, die konkreten Lücken entsprechen. Drei Warnungen stechen heraus, die Schwachstellen mit hohem Risiko betreffen.
Löchrige Firmware
So könnten Angreifer im BIOS für zahlreiche Prozessoren durch 16 unterschiedliche Fehler ihre Rechte ausweiten, einen Denial-of-Service provozieren oder unbefugt Informationen ausforschen. Mehrere der Lücken stuft der Hersteller mit einem hohen Risiko ein, CVSS reicht bis 8.2. In der Sicherheitsmeldung listet Intel die betroffenen Prozessoren-Reihen auf.
Ebenfalls als hohes Risiko (CVSS 7.6) stuft die Prozessorschmiede eine Lücke im Active Management Technology (AMT) SDK, in der Setup and Configuration Software (SCS) sowie in den Management Engine BIOS eXtensions (MEBx) ein. Angreifer könnten dadurch ihre Rechte im System ausweiten. Betroffene Chipsätze, Systems-on-a-Chip und Prozessoren finden Interessierte wie gewohnt in Intels Sicherheitsmeldung.
Auch in der Chipsatz-Firmware für Intels Server Platform Services (SPS), der Active Management Technology (AMT) und der Power Management Controller (PMC) klaffen Sicherheitslücken, durch die Nutzer ihre Rechte ausweiten oder einen Denial-of-Service auf das System ausführen können. Von den drei Schwachstellen, die das Security Advisory von Intel aufführt, erreicht eine den CVSS-Wert 7.3, was ein hohes Risiko bedeutet. Die konkret betroffenen CPUs, SOCs und Chipsätze führt die Sicherheitsmeldung auf.
Zwei weitere Warnungen hat Intel zu Produkten herausgegeben, die nicht mehr weiter unterstützt werden (Product Discontinuation notice). Dazu gehört einmal das Open-Source-Projekt Kernelflinger, in dem eine Sicherheitslücke Angreifern das Ausweiten ihrer Rechte ermöglicht (CVE-2021-33137, CVSS 7.8, hoch). Zudem könnten Nutzer durch eine Schwachstelle in der RXT for Chromebook-Anwendung Informationen ausspähen (CVE-2021-33166, CVSS 4.4, mittel).
Einen Überblick über alle Security Bulletins liefert Intel auf einer Sicherheitsmeldung-Sammelseite.
Updates verfügbar, aber ...
Intel hat aktualisierte Firmware und Software bereitgestellt, die die Sicherheitslücken schließt. Insbesondere Firmware muss jedoch etwa vom Mainboard- oder Rechnerhersteller erst einmal in deren BIOS gegossen und dieses dann an Nutzer verteilt werden. Die Lösung für die nicht mehr unterstützte Software ist laut Intel ganz einfach: Die Programme so schnell wie möglich nicht mehr benutzen und deinstallieren.
Erst kürzlich gab Intel die Jahresstatistik für 2021 heraus. Demzufolge hat das Unternehmen in dem Jahr mehr als 200 Lücken gestopft. Zudem sind Schwachstellen im BIOS offenbar häufiger zu finden. Der Hersteller Insyde H2O hat jüngst ebenfalls aktualisierte Firmware veröffentlicht – auf dessen UEFI-BIOS-Framework setzen viele große Unternehmen wie Bull Atos, Dell, Fujitsu, HP, HPE, Intel, Lenovo, Microsoft und Siemens.
(dmk)
