Intel fixt Sicherheitslücken und enthüllt nebenbei eine neue ZombieLoad-Variante

Zum Patch Tuesday hat Intel 77 teils kritische Lücken gefixt, unter denen sich auch ein bislang geheim gehaltener Seitenkanalangriff befand.

In Pocket speichern vorlesen Druckansicht 88 Kommentare lesen
Prozessorlücke, Meltdown, Spectre, Hardare, Motherboard, Intel, Prozessor, CPU
Lesezeit: 7 Min.
Inhaltsverzeichnis

Am Patch Tuesday hat Intel Security Advisories zu insgesamt 77 gefixten Sicherheitslücken veröffentlicht. Zwei der Lücken gelten als kritisch. Bei einer weiteren (mit "Medium"-Einstufung) handelt es sich um eine neue Variante des berüchtigten Seitenkanalangriffs ZombieLoad: Verwundbar sind diesmal auch aktuelle Intel-Prozessoren.

Details zu sämtlichen Sicherheitslücken, betroffenen Produkten sowie Firmware- und Treiber-Updates sind den insgesamt 18 Advisories zu entnehmen, die Intel in einem zusammenfassenden Blogeintrag zum Patchday auflistet.

Zusätzlich zu den Advisories hat das Unternehmen noch ein Whitepaper veröffentlicht, das sich mit einem als "Jump Conditional Code (JCC) Erratum" bezeichneten (nicht als Sicherheitslücke eingestuften) CPU-Bug beschäftigt. Dieser betrifft die Prozessor-Generationen Amber Lake, Cascade Lake, Coffee Lake, Comet Lake, Kaby Lake, Skylake und Whiskey Lake; präzisere Angaben sind dem Whitepaper zu entnehmen.

Intel zufolge kann das Erratum – allerdings unter möglichen Performance-Einbußen bis zu 4 Prozent – mit via GitHub bereitgestellten Microcode-Updates beseitigt werden.

Ein großer Teil der in Intels Advisories genannten Sicherheitslücken, nämlich 24, stecken in der Management Engine (ME) alias Converged Security and Management Engine (CSME) beziehungsweise deren Unterfunktionen wie Trusted Execution Engine (TXE) und Active Management Technology (AMT).

Unter diesen 24 Lücken befindet sich auch die kritische Lücke CVE-2019-0169 mit einem CVSS-v3-Score von 9.6. Laut Intels Advisory INTEL-SA-00241 könnte ein unauthentifizierter Angreifer, der sich im selben oder einem benachbarten Netzwerk ("Adjacent Network" gemäß CVSS V3) befindet wie das verwundbare System, auf diesem seine Rechte erweitern, Informationen ausspähen oder einen Denial-of-Service-Zustand auslösen.

Die zweite kritische Lücke CVE-2019-11171 (CVSS-v3-Score: 9.0) betrifft laut dem Advisory INTEL-SA-00313 ältere Firmware-Versionen für den Baseboard Management Controller (BMC). Sie kann aus der Ferne (d.h. auch über das Internet) ausgenutzt werden, um ähnliche Effekte wie durch CVE-2019-11171 zu erzielen.

Das CVSS-v3-Scoring beschreibt die Angriffskomplexität in beiden Fällen als hoch (Attack Complexity/AC: "High"). Angaben dazu, ob es bislang Angriffe auf eine oder beide Lücke(n) gab, macht Intel nicht.