Hyperthreading-Lücke: Microsoft und einige Linux-Distributoren trödeln

Der kanadische Student Colin Percival hatte am 13. Mai ein Sicherheitsproblem öffentlich gemacht, das in Verbindung mit dem in vielen Intel-Prozessoren eingebauten Hyperthreading steht. Dadurch ist es Hackern beispielsweise möglich, sich Zugriff auf den RSA-Key einer OpenSSL-Verschlüsselung zu verschaffen. Während die Anbieter BSD-basierter Betriebssysteme sowie SCO und Linux Ubuntu bereits reagiert haben, steht eine Antwort von Red Hat, Novell, Mandriva und Microsoft noch aus.

„Da ich das Problem Anfang März gemeldet habe, hätten sie bereits vor mehr als einem Monat einen Patch haben müssen – rechtzeitig, um ihn vor der Veröffentlichung am 13. Mai ausführlich zu testen“, so Percival gegenüber ZDNet Australia. „Ich habe allen ziemlich deutlich gemacht, dass ich mein Papier an diesem Datum veröffentliche und sie sicherstellen sollten, dass sie bis dahin soweit sind.“

Ein Sprecher von Red Hat sagte, das Security-Team habe die Lücke als mittelschwer eingestuft und arbeite mit dem OpenSSL-Entwicklern an einer Lösung des Problems. Auch Novell sicherte zu, an einem Bugfix zu arbeiten.

Microsoft ließ verlauten, man prüfe den Bericht von Percival derzeit und wolle erst nach dem Abschluss der Untersuchungen aktiv werden. Bislang seien keine Angriffe bekannt geworden.

Percival kritisierte in diesem Zusammenhang auch die Reaktionen von Intel auf die Bekanntgabe der Schwachstelle. Der Chiphersteller bezeichnete das Risiko als „sehr gering“. Intel mache sich die Sache zu einfach. „Diese Lücke ermöglicht es Usern an einem Rechner, sich gegenseitig Daten zu stehlen“, warnt Percival vor den Folgen der Sicherheitslücke. Verwundbare Systeme seien häufig die Basis von kleineren E-Commerce-Sites.