Intel: Forscher entdecken neue Sicherheitslücken in Chips
Das Wichtigste in Kürze
- In Intel-Chips haben Forscher neue Schwachstellen entdeckt.
- «Meltdown» und «Spectre» wurden in fast allen Prozessoren gefunden.
- Betroffen sind vor allem diejenigen Chips, die in den letzten zwei Jahren erstellt worden sind.
In den Chips von Intel klaffen laut einem Bericht des renommierten Computermagazins «c't» neue gravierende Sicherheitslücken. Fünf Monate nach Bekanntwerden der schwerwiegenden Schwachstellen «Spectre» und «Meltdown» hätten Forscher acht neue Sicherheitslücken in Intel-Prozessoren gefunden, berichtet das Magazin am Donnerstag.
Jede der acht Lücken hat von Intel eine eigene Nummer im Verzeichnis der bekannten Sicherheitslücken bekommen (Common Vulnerability Enumerator, CVE). Intel erklärte am Donnerstagabend, man arbeite routinemässig «eng mit Kunden, Partnern, anderen Chipherstellern und Forschern zusammen, um alle identifizierten Probleme zu verstehen und zu entschärfen». Teil dieses Prozesses sei die Reservierung von CVE-Nummernblöcken. «Wir glauben fest an den Wert einer koordinierten Offenlegung und werden zusätzliche Details zu allen möglichen Problemen mitteilen, wenn wir die Abschwächung abschliessen.» Der Chiphersteller empfahl den Anwendern, ihre «Systeme auf dem neuesten Stand zu halten», obwohl für die aktuellen Lücken noch gar keine Fehlerbereinigungen verfügbar sind.
«Spectre» und «Meltdown» hebeln Sicherheitsmechanismen aus, die verhindern sollen, dass Programme beliebig Daten aus dem Speicher eines Computers abrufen können. Ist die Sicherung ausgetrickst, kann entsprechende Software auf eigentlich geschützte Speicherbereiche anderer Programme oder des Betriebssystems zugreifen und so zum Beispiel Passwörter und Krypto-Schlüssel auslesen. Einige der neuen Lücken («Spectre Next Generation») sollen von Sicherheitsforschern im Google-Projekt Zero aufgedeckt worden sein. Die Google-Hacker haben in der Vergangenheit mehrfach Schwachstellen veröffentlicht, für die der betroffene Hersteller noch keine Fehlerbereinigungen («Patches») fertig hatte.
Besonders betroffen seien Anbieter von Cloud-Diensten wie Amazon oder Cloudflare und natürlich deren Kunden», erklärte Jürgen Schmidt, Sicherheitsexperte bei der «c't». «Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.» Die konkrete Gefahr für Privatleute und Firmen-PCs sei hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gebe. «Auch wenn es keinen Grund zur Panik gibt, muss man die neuen Sicherheitslücken ernst nehmen.»