Schon wieder Intel-Prozessorlücke

Schon wieder Intel-Prozessorlücke

(Quelle: Semiconductor Industry Association)
11. März 2020 - Eine schon 2019 entdeckte Schwachstelle in Intel-Prozessoren wurde jetzt veröffentlicht. Sie ist auf Schwächen der SGE Enclaves zurückzuführen und lässt sich mit einer Angriffsmethode namens Load Value Injection ausnutzen.
Mehrere Teams von Sicherheitsforschern, darunter Experten der Technischen Universität Graz und Spezialisten von Bitdefender, haben Angaben zu einer bereits Anfang 2019 entdeckten Sicherheitslücke in Intel-Prozessoren veröffentlicht. Die Publikation erfolgt erst jetzt, weil sich Intel Zeit für die Entwicklung von Fixes erbeten hat. Das "neue" Leck trägt die Nummer CVE-2020-0551.

Die Schwachstelle lässt sich mit einer neuen Angriffsmethode namens Load Value Injection ausnutzen und ähnelt Meltdown, allerdings im umgekehrter Weise: Der attackierte Rechner gibt nicht wie bei Meltdown geheime Daten zum Besten, sondern wird mit falschen Daten "injiziert". Wie bei Meltdown werden dabei Lücken in den von Intel entwickelten SGX Enclaves ausgenutzt, die eigentlich für Sicherheit sorgen sollten.

Daniel Gruss, Forscher an der TU Graz, erklärt dazu: "Diese Lücke ist sehr schwer zu schliessen. Es braucht dafür entweder einen ganz neuen Prozessor oder einen tiefen Eingriff in die Software. Die von Intel und uns parallel erarbeitete Software-Lösung wird massive Performance-Einbussen mit sich bringen." So wird dabei zum Beispiel das Hyperthreading deaktiviert.

Die Schwachstelle betrifft alle Intel-Prozessoren für Server, Desktops und Laptops, die zwischen 2012 und heute hergestellt wurden und kann sich gemäss Bitdefender, obwohl sie nur als mittelschwer klassifiziert ist, in Rechenzentren und in Private und Public Clouds als besonders gefährlich auswirken, weil ein Angreifer auch mit niedrigen Privilegien vertrauliche Daten eines anderen Nutzers oder einer anderen VM ausspionieren kann. (ubi)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER