Intel hat eine Schwachstelle im SPI-Flash-Speicher zahlreicher Prozessorreihen gemeldet, die vielfältige Angriffsmöglichkeiten bis hin zur Ausführung beliebigen Programmcodes bietet. Der Chiphersteller bewertet diesen Fehler mit 7,9 auf einer Skala bis 10 (CVSSv3) und damit relativ hoch. Die mit CVE-2017-5703 bezeichnete Sicherheitslücke sei intern bemerkt worden – und eine Entdeckung durch Außenstehende nicht bekannt.
SPI-Flash ist eine Komponente, die für den Rechnerstart erforderlich ist und als Speicher für die Firmware dient. Bei den betroffenen Chips erlaubt die SPI-Flash-Konfiguration „einem lokalen Angreifer, das Verhalten des SPI-Flash zu ändern, was möglicherweise zu einem Denial of Service führen kann“. Laut Intel hat das Problem keine Root-Ursache und ist mit einem bereits verfügbaren Fix zu beheben.
Den Nutzern empfiehlt Intel deshalb, die Supportseiten ihrer Systemhersteller auf aktuelle Sicherheitsupdates zu überprüfen. Offenbar als erster Hersteller hat inzwischen Lenovo reagiert und damit begonnen, für viele seiner Computermodelle BIOS/UEFI-Updates mit dem Fix anzubieten, der von Intel Anfang dieses Monats bereitgestellt wurde.
Lenovo nennt außerdem weitere Details zu möglichen Angriffen, die aus der Sicherheitswarnung des Chipherstellers nicht hervorgingen. Demnach könnte ein Angreifer die Schwachstelle ausnutzen, um das Booten eines Systems zu verhindern, seine Funktionsweise zu verändern oder beliebigen Code während der Startsequenz des Systems auszuführen.
„Die Konfiguration der System-Firmware-Komponente (SPI-Flash) könnte einem Angreifer erlauben, BIOS/UEFI-Updates zu blockieren oder selektiv Teile der Firmware zu löschen oder zu beschädigen“, heißt es weiter. „Das würde wahrscheinlich zu einer erkennbaren Fehlfunktion führen, könnte aber unter seltenen Umständen beliebige Codeausführung ermöglichen.“
Intels Sicherheitswarnung führt eine beträchtliche Anzahl gefährdeter Prozessortypen auf. Durch die Bank sind seine Core-Prozessoren von der fünften bis zur achten Generation betroffen. Die Liste verweist außerdem auf zahlreiche Chips aus Intels Produktpalette, die als Pentium, Celeron, Atom und Xeon in den Verkauf kamen.
Unklar bleibt allerdings wie bei den Microcode-Updates für die CPU-Sicherheitslücken Meltdown und Spectre, wie Nutzer an die von Intel entwickelten Updates kommen, die es nur seinen Partnern wie PC- und Mainboard-Herstellern zur Verfügung stellt. Einige davon haben jedoch schon früh signalisiert, dass sie die Updates nur für wenige aktuelle Produkte bereitstellen werden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Als Geldgeber sind Apple, Microsoft und Nvidia im Gespräch. OpenAI sucht angeblich frisches Geld zum…
BSI veröffentlicht IT-Sicherheitskennzeichen für mobile Endgeräte. Wirtschaft und Zivilgesellschaft konnten Kriterien dafür mit bestimmen.
Laut Bitkom-Studie beläuft sich der Gesamtschaden auf rund 267 Milliarden Euro. China werde zum Standort…
Sie erlauben unter Umständen eine Remotecodeausführung. Updates stehen für Chrome für Windows, macOS, Linux und…
Apple hat auf der WWDC einige Neuerungen für das Gerätemanagement vorgestellt. Eine Einordnung von Surendiran…
Kaspersky ermittelt einen Anstieg der Anzahl der Attacken um 23 Prozent. Anfällige Treiber lassen sich…
