Lücke in Intel Software Guard Extensions gefunden

(Quelle: ETH Zürich)

Lücke in Intel Software Guard Extensions gefunden

(Quelle: ETH Zürich)
20. Oktober 2021 - Ausgerechnet bei den für sensible Daten gedachten SGX-Enklaven auf Intel-Prozessoren haben Forschende eine Sicherheitslücke entdeckt. Das Problem ist gepatcht, sollte aber dennoch zu denken geben.
Eine Gruppe von Sicherheitsforschern hat eine kritische Lücke in der Intel-Prozessorarchitektur aufgedeckt. Die beiden betroffenen Unternehmen Intel und Microsoft haben die Lücke, mit der beliebiger Code in geschlossenen Bereichen des Prozessors ausgeführt werden konnte, mittlerweile gepatcht. Intel selbst bewertete die Lücke mit einem CVSS-Score von 8.2 von 10 Punkten.

Die SmashEx genannte Sicherheitslücke wurde im Mai 2021 von einem Team von Forschenden der ETH Zürich, der National University of Singapore (NUS) und der chinesischen National University of Defense Technology (NUDT) entdeckt, wie die ETH schreibt. Es gelang den Experten dabei, sowohl Daten aus den sogenannten Enklaven der Software Guard Extensions (SGX) des Prozessors zu ziehen, wie auch beliebigen Code darin auszuführen. Sowohl Intel wie auch Microsoft haben die Lücke im Juni 2021 per Software-Updates geschlossen. Bedenklich ist die Lücke besonders, weil sie genau die für sensible Daten gedachte SGX-Enklaven betrifft, die etwa im Umgang mit Finanz- oder Gesundheitsdaten genutzt werden. Die bei der ETH beteiligte Forscherin Shweta Shinde gab zu Protokoll, dass die Lücke in ihren Augen noch kein Grund zur Panik sei, plädiert jedoch für eine Anpassung der Hardware bei künftigen Prozessorgenerationen, um diese auch dauerhaft sicherer zu gestalten.

Der Preprint der Forschungsergebnisse ist bereits hier einzusehen, die vollständigen Ergebnisse werden an der Konferenz ACM CCS am 15. November präsentiert. (win)

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
SPONSOREN & PARTNER