US-Kongress untersucht Geheimniskrämerei um Meltdown- und Spectre-Lücken

Ein Ausschuss schreibt einen Brief an die CEOs von Intel, AMD, ARM, Apple, Microsoft, Amazon und Google. Sie sollen erklären, warum nur ausgesuchte Firmen von Meltdown und Spectre wussten. Die Abgeordneten wollen auch wissen, wer die Geheimhaltung vorgeschlagen hat.

Den Ausschuss für Energie und Wirtschaft des US-Repräsentantenhauses beschäftigt die Frage, warum nur wenige Firmen vorab von den CPU-Sicherheitslücken Meltdown und Spectre wussten, obwohl die Schwachstellen praktisch jedes Technikunternehmen betreffen. Die Abgeordneten wollen nun herausfinden, ob diese „Insider“ die Folgen ihrer Geheimniskrämerei für andere Unternehmen bedacht haben.

Meltdown Spectre (Bild: Google)Das geht aus einem Brief hervor, den die Abgeordneten Greg Walden, Gregg Harper, Bob Latta und Marsha Blackburn am Mittwoch an die CEOs von Intel, AMD, ARM, Apple, Microsoft, Amazon und Google verschickt haben. Sie kritisieren unter anderem, dass die ungeplante Offenlegung der Schwachstellen am 3. Januar einige Firmen „kalt erwischte“.

Zumindest bestimmte Mitarbeiter oder gar Abteilungen der fraglichen Unternehmen wussten mindestens seit Juni 2017 von den Fehlern in Prozessoren von Intel, AMD und ARM. Etwa zu dem Zeitpunkt sollen sie sich auch auf die Geheimhaltung sowie den Zeitplan für die gemeinsame Offenlegung geeinigt haben. Viele betroffene Parteien wurden durch das Embargo jedoch erst deutlich später informiert oder erhielten zu wenige Informationen, um den Ernst der Lage richtig einschätzen zu können.

Linux-Kernel-Entwickler hatten sich Anfang der Woche bereits über die „ungewöhnliche“ Offenlegung von Meltdown und Spectre beschwert. Eigentlich gebe es branchenweit gut etablierte und funktionierende Verfahren für den Umgang mit Software-Fehlern, diese seien jedoch bei den CPU-Lücken nicht angewandt worden. Die Software-Entwicklerin Jessie Frazelle, die bei Microsoft an Linux arbeitet, nannte das Embargo „ein absolutes Chaos“, das es künftig zu vermeiden gelte.

Das Sicherheitsteam von FreeBSD erfuhr beispielsweise erst Ende Dezember von den Anfälligkeiten sowie der zu dem Zeitpunkt für den 9. Januar geplanten Offenlegung. Als Folge konnte FreeBSD am 3. Januar, als Meltdown und Spectre durch einen Bericht von The Register öffentlich wurden, nicht einmal eine Schätzung für die Veröffentlichung von Patches nennen. Dem Brief zufolge soll zudem der US-Cloudanbieter DigitalOcean das angeblich von Intel initiierte Embargo scharf kritisiert haben. Es habe die Möglichkeiten des Unternehmens, die Folgen von Meltdown und Spectre einzuschätzen, stark eingeschränkt. Das US-CERT, das eigentlich dafür zuständig sei, die Branche über Sicherheitslücken zu informieren, habe ebenfalls erst am 3. Januar von Meltdown und Spectre erfahren.

Von den CEOs wollen die Abgeordneten nun wissen, warum das Embargo eingesetzt wurde und wer es vorgeschlagen hat. Sie wollen auch wissen, wann US-CERT und CERT/CC informiert wurden. Die CEOs sollen außerdem erklären, ob sie die möglichen Folgen für Anbieter kritischer Infrastrukturen und anderer IT-Dienste abgewägt haben.

HIGHLIGHT

EMM – ein nützliches Werkzeug zur Einhaltung der DSGVO

Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. In diesem Dokument finden Unternehmen Rahmenbedingungen, mit denen sie ihre Richtlinien für mobilen Datenschutz und mobile Sicherheit sowie die Durchsetzungskonzepte bewerten können.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: AMD, ARM, Intel, Politik, Prozessoren, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu US-Kongress untersucht Geheimniskrämerei um Meltdown- und Spectre-Lücken

Kommentar hinzufügen
  • Am 26. Januar 2018 um 11:23 von Klaus der Skeptische

    Ich für meine Person fände es auch interessant zu erfahren, warum trotz der Absprachen das dann einige Tage früher herausgekommen ist, und (!) wer davon profitierte.

    Apple, AMD, ARM und Microsoft wurden auf dem falschen Fuß erwischt. Google hingegen nicht. Zufällig das Google, das die Lücken mitentdeckt hat.

    Möglicherweise ist da etwas nicht sauber gelaufen, das die Herren Senatoren ebenfalls beleuchten sollten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *