Den Ausschuss für Energie und Wirtschaft des US-Repräsentantenhauses beschäftigt die Frage, warum nur wenige Firmen vorab von den CPU-Sicherheitslücken Meltdown und Spectre wussten, obwohl die Schwachstellen praktisch jedes Technikunternehmen betreffen. Die Abgeordneten wollen nun herausfinden, ob diese „Insider“ die Folgen ihrer Geheimniskrämerei für andere Unternehmen bedacht haben.
Zumindest bestimmte Mitarbeiter oder gar Abteilungen der fraglichen Unternehmen wussten mindestens seit Juni 2017 von den Fehlern in Prozessoren von Intel, AMD und ARM. Etwa zu dem Zeitpunkt sollen sie sich auch auf die Geheimhaltung sowie den Zeitplan für die gemeinsame Offenlegung geeinigt haben. Viele betroffene Parteien wurden durch das Embargo jedoch erst deutlich später informiert oder erhielten zu wenige Informationen, um den Ernst der Lage richtig einschätzen zu können.
Linux-Kernel-Entwickler hatten sich Anfang der Woche bereits über die „ungewöhnliche“ Offenlegung von Meltdown und Spectre beschwert. Eigentlich gebe es branchenweit gut etablierte und funktionierende Verfahren für den Umgang mit Software-Fehlern, diese seien jedoch bei den CPU-Lücken nicht angewandt worden. Die Software-Entwicklerin Jessie Frazelle, die bei Microsoft an Linux arbeitet, nannte das Embargo „ein absolutes Chaos“, das es künftig zu vermeiden gelte.
Das Sicherheitsteam von FreeBSD erfuhr beispielsweise erst Ende Dezember von den Anfälligkeiten sowie der zu dem Zeitpunkt für den 9. Januar geplanten Offenlegung. Als Folge konnte FreeBSD am 3. Januar, als Meltdown und Spectre durch einen Bericht von The Register öffentlich wurden, nicht einmal eine Schätzung für die Veröffentlichung von Patches nennen. Dem Brief zufolge soll zudem der US-Cloudanbieter DigitalOcean das angeblich von Intel initiierte Embargo scharf kritisiert haben. Es habe die Möglichkeiten des Unternehmens, die Folgen von Meltdown und Spectre einzuschätzen, stark eingeschränkt. Das US-CERT, das eigentlich dafür zuständig sei, die Branche über Sicherheitslücken zu informieren, habe ebenfalls erst am 3. Januar von Meltdown und Spectre erfahren.
Von den CEOs wollen die Abgeordneten nun wissen, warum das Embargo eingesetzt wurde und wer es vorgeschlagen hat. Sie wollen auch wissen, wann US-CERT und CERT/CC informiert wurden. Die CEOs sollen außerdem erklären, ob sie die möglichen Folgen für Anbieter kritischer Infrastrukturen und anderer IT-Dienste abgewägt haben.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.