Modern technology gives us many things.

Patchday bei Intel: Microcode-Updates, aber auch viele Downloads für Endnutzer

0 3

Neue, allerdings nur mit "Medium" bewertete Lücken erfordern Microcode-Updates für einige Prozessoren. Viele andere Aktualisierungen sind direkt verfügbar.


    Patchday bei Intel: Microcode-Updates, aber auch viele Downloads für Endnutzer


    Patchday bei Intel: Microcode-Updates, aber auch viele Downloads für Endnutzer

(Bild: Alexander Tolstykh/Shutterstock.com)

Security Von

  • Olivia von Westernhagen

Im Zuge des monatlichen Patchdays hat Intel 29 Sicherheitshinweise veröffentlicht, die sich mit insgesamt 73 Schwachstellen von "Low" bis "High" in zahlreichen Produkten befassen. In vielen Fällen stehen Soft- und Firmwareupdates bereit, die Endnutzer direkt von Intels Website herunterladen können. Oftmals fließen Intels Patches aber auch in OEM- oder Betriebssystem-spezifische Aktualisierungen ein, nach denen Anwender dementsprechend Ausschau halten sollten.

In einem aktuellen Blogpost zum Intel-Patchday klopft sich das Unternehmen vor allem selbst auf die Schulter: Im laufenden Jahr seien 70 Prozent der Sicherheitslücken in Intel-Produkten durch das interne Team entdeckt und mittels Patches beseitigt worden, bevor sie öffentlich bekannt geworden seien. Diese und weitere Ausführungen etwa bezüglich des unternehmenseigenen Bug Bounty-Programms dürften auf den Konkurrenten AMD abzielen, bei dem man deutlich weniger öffentliche Aktivität in Bezug auf Patches sieht.

Wir beschränken uns im Folgenden auf einen Überblick über die Sicherheitslücken mit "High"-Einstufung; eine vollständige Übersicht über alle Advisories liefert Intels Security-Center.

Der höchste CVSS-Score unter den "High"-Lücken im Juni, nämlich 8.8, wurde CVE-2021-24489 zugeordnet. Die Lücke steckt in Intels VT-d (Virtualization Technology for Directed I/O) und könnte, sofern auf dem betreffenden System I/O-Virtualisierung verwendet wird, von einem lokalen authentifizierten Angreifer missbraucht werden, um seine Zugriffsrechte auszuweiten. Updates kommen über den Umweg der OEMs; weitere Details und eine Übersicht über die betroffenen Prozessorfamilien sind dem Advisory INTEL-SA-00442 zu entnehmen.

Baldige BIOS-Updates für die meisten Core-i- und Xeon-Systeme seit Skylake (Core i-6000, Jahr 2015) sind auch aufgrund mehrerer weiterer BIOS-Sicherheitslücken mit Einstufungen von "Medium" bis "High"zu erwarten, die das Advisory INTEL-SA-00463 zusammenfasst. Auch hier sind Ausweitungen bestehender Zugriffsrechte möglich, wobei je nach Lücke lokaler oder auch physischer Zugriff nötig ist.

Mit Ausnahme von INTEL-SA-00460 zu Intel RealSense ID, das lediglich "vorbeugende Schutzmaßnahmen" gegen zwei Angriffsmöglichkeiten schildert, enthalten alle übrigen Advisories mit "High"-Wertung Download-Hinweise zu aktualisierten Treibern, Firm- und Software. Wir haben sie nachstehend unter Angabe des jeweils höchsten CVSS-Scores verlinkt:

  • INTEL-SA-00440 (FPGA OPAE Treiber für Linux, CVSS-Score 7.8)
  • INTEL-SA-00521 (Security Library, CVSS-Score 7.7)
  • INTEL-SA-00511 (NUC Firmware, 7.5)
  • INTEL-SA-00510 (Driver and Support Assistant / DSA, 7.5)
  • INTEL-SA-00401 (Thunderbolt Controller, u.a. für NUC, 7.3)
  • INTEL-SA-00474 (Server Board M10JNP2SB Baseboard Management Controller, 7.1)

Unter den Advisories zu "Medium"-Gefahren fallen zwei ins Auge, die auf Microcode-Updates verweisen: INTEL-SA-00464 und INTEL-SA-00516 beschreiben drei offenbar neu entdeckte Prozessorlücken die, allerdings nur bei lokalem Zugriff und mit vorhandenen niedrigen Privilegien, zum Auslesen von Informationen missbraucht werden könnten.

Die Informationen in den Advisories sind insgesamt eher spärlich, und auch die MITRE-Datenbankeinträge zu den CVE-IDs wurden bislang nicht mit Informationen befüllt. CVE-2020-24511 und CVE-2020-24512 (CVSS-Scores 6.5 bzw. 2.8/"Low") betreffen viele Core-i-Typen ab Skylake. Erstere basiert laut Beschreibung auf einer mangelhaften Abschirmung geteilter CPU-Ressourcen, letztere lässt sich offenbar mittels zeitbasierter Angriffe ausnutzen. CVE-2020-24513 (CVSS 5.6), von Intel als "Domain-bypass transient execution vulnerability" bezeichnet, steckt wiederum in einigen Prozessoren der Atom-Reihe und hängt offenbar mit den Software Guard Extensions (SGX) zusammen, die bei Atom nur selten zum Einsatz kommen.

Alle drei Sicherheitslücken finden sich in einer Tabelle mit den betroffenen Prozessoren, für die ein Microcode-Update (MCU) kommt, wieder. Diese trägt die Überschrift "Transient Execution Attacks", umfasst diverse Seitenkanalangriffe mittels spekulativer Befehlsausführung und wird von Intel bereits seit Spectre und Meltdown geführt. (ovw)

Quelle: www.heise.de

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.