Den Ausschuss für Energie und Wirtschaft des US-Repräsentantenhauses beschäftigt die Frage, warum nur wenige Firmen vorab von den CPU-Sicherheitslücken Meltdown und Spectre wussten, obwohl die Schwachstellen praktisch jedes Technikunternehmen betreffen. Die Abgeordneten wollen nun herausfinden, ob diese „Insider“ die Folgen ihrer Geheimniskrämerei für andere Unternehmen bedacht haben.
Zumindest bestimmte Mitarbeiter oder gar Abteilungen der fraglichen Unternehmen wussten mindestens seit Juni 2017 von den Fehlern in Prozessoren von Intel, AMD und ARM. Etwa zu dem Zeitpunkt sollen sie sich auch auf die Geheimhaltung sowie den Zeitplan für die gemeinsame Offenlegung geeinigt haben. Viele betroffene Parteien wurden durch das Embargo jedoch erst deutlich später informiert oder erhielten zu wenige Informationen, um den Ernst der Lage richtig einschätzen zu können.
Linux-Kernel-Entwickler hatten sich Anfang der Woche bereits über die „ungewöhnliche“ Offenlegung von Meltdown und Spectre beschwert. Eigentlich gebe es branchenweit gut etablierte und funktionierende Verfahren für den Umgang mit Software-Fehlern, diese seien jedoch bei den CPU-Lücken nicht angewandt worden. Die Software-Entwicklerin Jessie Frazelle, die bei Microsoft an Linux arbeitet, nannte das Embargo „ein absolutes Chaos“, das es künftig zu vermeiden gelte.
Das Sicherheitsteam von FreeBSD erfuhr beispielsweise erst Ende Dezember von den Anfälligkeiten sowie der zu dem Zeitpunkt für den 9. Januar geplanten Offenlegung. Als Folge konnte FreeBSD am 3. Januar, als Meltdown und Spectre durch einen Bericht von The Register öffentlich wurden, nicht einmal eine Schätzung für die Veröffentlichung von Patches nennen. Dem Brief zufolge soll zudem der US-Cloudanbieter DigitalOcean das angeblich von Intel initiierte Embargo scharf kritisiert haben. Es habe die Möglichkeiten des Unternehmens, die Folgen von Meltdown und Spectre einzuschätzen, stark eingeschränkt. Das US-CERT, das eigentlich dafür zuständig sei, die Branche über Sicherheitslücken zu informieren, habe ebenfalls erst am 3. Januar von Meltdown und Spectre erfahren.
Von den CEOs wollen die Abgeordneten nun wissen, warum das Embargo eingesetzt wurde und wer es vorgeschlagen hat. Sie wollen auch wissen, wann US-CERT und CERT/CC informiert wurden. Die CEOs sollen außerdem erklären, ob sie die möglichen Folgen für Anbieter kritischer Infrastrukturen und anderer IT-Dienste abgewägt haben.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Die neue V-NAND-Generation bietet die derzeit höchste verfügbare Bit-Dichte. Samsung steigert auch die Geschwindigkeit und…
Die Sicherheitsfunktion taucht in einer Beta eines kommenden Android-Updates auf. Die Quarantäne beendet unter anderem…
Die OutSystems Developer School hilft Entwicklern, in 2 Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform…
Das Jahr 2024 beginnt laut Cloudflare mit einem Paukenschlag. Die automatischen Systeme des Unternehmens wehren…
Laut Kaspersky nehmen Infostealer gerade auch Spieleplattformen ins Visier. Neue Studie untersucht Angriffe zwischen 2021…
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…