Categories: Sicherheit

Intel: CPU-Benchmarks nach Microcode-Update wieder legitim

Gegen die restriktiven Lizenzbestimmungen für die kürzlich von Intel veröffentlichten Microcode-Updates, die unter anderen die sogenannten Foreshadow-Schwachstellen beheben sollen, haben verschiedene Personen aus dem Open-Source-Umfeld scharf protestiert. Debian hat eine Veröffentlichung der Sicherheitspatches gar ausgeschlossen. Intel hatte in den Lizenzbestimmungen Leistungsvergleiche von PCs verboten.

Auch Open-Source-Urgestein Bruce Perens hat das Benchmark-Verbot kritisiert und Intel aufgefordert, seine Lizenzbestimmungen anzupassen. Dieser Aufforderung ist der Prozessorhersteller nun nachgekommen. In der aktualisierten Fassung ist das Verbot „(v) Software-Benchmarks oder Vergleichstestergebnisse zu veröffentlichen oder bereitzustellen“ nicht mehr enthalten. Auch andere Formulierungen, die ein Verbot einer Redistribution nahelegten, sind in den neuen Lizenzbestimmungen nicht mehr enthalten.

Foreshadow: Bug in Intel-CPUs gibt vertrauliche Daten preis

Das im Kielwasser von Meltdown und Spectre veröffentlichte Foreshadow-Angriffsszenario erlaubt es, Daten auszulesen und zu stehlen, darunter möglicherweise auch Nutzernamen und Passwörter.

Foreshadow ist letztlich ein weiterer Angriff, der sich Schwachstellen in der spekulativen Ausführung von Code zu Nutze macht. Den Forschern zufolge gibt es zwei Versionen von Foreshadow: die erste extrahiert Daten aus der sicheren Enclave Software Guard Extensions (SGX) und die zweite betrifft virtuelle Maschinen, Hypervisors, den Kernel-Speicher von Betriebssystemen und den Speicher des System Management Mode.

SGX ist eine Sicherheitsfunktion von Intel-Prozessoren, die eigentlich verhindern soll, dass Code und Daten angegriffen oder gar ausgelesen oder modifiziert werden. Laut Yuval Yarom, Forscher an der University of Adelaide, kann das Sicherheitsleck in SGX jedoch zu einem „vollständigen Kollaps des SGX-Ökosystems“ führen.

Intel hat die Foreshadow-Bugs inzwischen bestätigt. Demnach können schädliche Anwendungen unter Umständen Daten in den Speicher des Betriebssystems oder anderer Anwendungen einschleusen. Eine schädliche virtuelle Maschine sei zudem in der Lage, Daten in den Speicher anderer Gast-Systeme einzufügen. Auch die Abschottung des Speichers einer SGX-Enclave gegenüber einer anderen SGX-Enclave sei nicht mehr gewährleistet.

Jon Masters, ARM Computer Architect bei Red Hat, stufte Foreshadow als „erhebliche Bedrohung“ für virtualisierte Umgebungen ein. Das gelte vor allem bei Mischungen aus vertrauenswürdigen und nicht vertrauenswürdigen virtuellen Maschinen.

Den ersten Foreshadow-Bug meldeten die Forscher bereits am 3. Januar an Intel. Der Prozessorhersteller entdeckte daraufhin selbst die zweite Foreshadow-Version. Laut Intel handelt es sich um eine neue Klasse von Side-Channel-Anfälligkeiten, die auf spekulativer Ausführung basieren, die das Unternehmen nun L1 Terminal Fault (L1TF) nennt.

Intel weist auch darauf hin, dass sich die insgesamt drei Foreshadow-Schwachstellen nur ausnutzen lassen, falls ein Angreifer bereits in der Lage ist, Code auf einem System auszuführen. Im Common Vulnerability Scoring System (CVSS) sind sie mit 7,9 beziehungsweise 7,1 von zehn möglichen Punkten bewertet.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

24 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

24 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago