Intel beseitigt kritisches Leck in Treiberaktualisierungs-Software

Die Versionen 2.0 bis 2.3 des Driver Update Utility nutzen eine unsichere Verbindung zur Kommunikation mit Intels Servern. Dies kann ein Angreifer per Man-in-the-middle-Angriff ausnutzen, um darüber Schadcode auf das System zu schleusen. Version 2.4 der Sofware behebt diese Schwachstelle.

Intel hat ein schwerwiegendes Sicherheitsproblem im Zusammenhang mit seinem Driver Update Utility behoben. Es ermöglichte es Angreifern, mittels eines Man-in-the-middle-Angriffs beliebigen Code auf das System zu schleusen und auszuführen. Betroffen sind die Software-Versionen 2.0, 2.1, 2.2 und 2.3. Mit der neuen Version 2.4 wurde die Lücke geschlossen.

Intel Driver Update Utility Icon (Bild: Intel)Eigentlich soll das Intel Driver Update Utility, das hierzulande Intel Treiberaktualisierungs-Software heißt, dabei helfen, auf dem System vorhandene Intel-Treiber stets auf dem neuesten Stand zu halten. Dazu überprüft es regelmäßig, ob Updates für die installierten Versionen vorliegen. Ist dies der Fall, informiert es den Nutzer darüber und bietet den Download sowie die Installation an.

Die anfälligen Versionen 2.0 bis 2.3 der Treiberaktualisierungs-Software nutzten jedoch eine unverschlüsselte Verbindung, um Kontakt zu Intels Servern aufzunehmen. Dadurch konnten Angreifer den Datenverkehr theoretisch aus der Ferne einsehen und manipulieren, um über das Intel-Tool Malware oder anderen Schadcode auf das System zu laden. Die aktualisierte Version 2.4 des Driver Update Utility verwendet nun eine sichere SSL-Verbindung zur Kommunikation mit Intels Servern.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Entdeckt hatte die Schwachstelle (CVE-2016-1493) ein Mitglied des Sicherheitsforscherteams von Core Security. Wie das Unternehmen in einem Advisory erklärt, informierte es Intel erstmals am 12. November 2015 über den Fund. Als keine Antwort erfolgte, schickte es 14 Tage später eine weitere Mitteilung, die aber offenbar ebenfalls unbeantwortet blieb. Erst nachdem es sich am 14. Dezember direkt an den für das Update Utility zuständigen Produktmanager wandte, wurde Intel aktiv und forderte weitere Informationen zu dem Leck an. Anschließend einigten sich beide Parteien darauf, bis zur Veröffentlichung eines Patches die Lücke geheim zu halten.

Wieviele Anwender von dem Sicherheitsproblem betroffen sind, ist unklar. In einer eigenen Sicherheitsmeldung rät Intel allen Nutzern der unsicheren Varianten des Driver Update Utility dringend dazu, die fehlerbereinigte Version schnellstmöglich zu installieren. Sie steht auf der Hersteller-Website zum kostenlosen Download bereit.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Intel, Security, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Intel beseitigt kritisches Leck in Treiberaktualisierungs-Software

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *