Intel Enthüllt 77 Neue Sicherheitslücken, Die In Mehreren Hardwarekomponenten Wie CPUs, Ethernet-Controllern Und Mehr Entdeckt Wurden

Intel hat intensiv nach Sicherheitslücken in den gängigen Hardwarekomponenten gesucht. Dieser Monat scheint eindeutig eher besorgniserregend zu sein, da der Chiphersteller behauptet, mehr als 70 Fehler, Mängel und Sicherheitslücken in mehreren Produkten und Standards entdeckt zu haben. Übrigens wurde der Großteil der Fehler von Intel während der „internen Tests“entdeckt, während nur wenige von Partnern und Agenturen von Drittanbietern gefunden wurden.

Intel Security Advisory, monatliches Bulletin, ist ein hoch angesehenes Repository, das Sicherheitsupdates, Themen zur Fehlerbehebung, neue Sicherheitsforschung und Engagement-Aktivitäten innerhalb der Sicherheitsforschungs-Community aufzeichnet. Die Sicherheitsempfehlung dieses Monats ist wichtig, allein aufgrund der großen Anzahl von Sicherheitslücken, die Intel nach eigenen Angaben in regelmäßig verwendeten Computer- und Netzwerkprodukten aufgedeckt hat. Der Großteil der Hinweise in diesem Monat bezieht sich natürlich auf Probleme, die Intel intern festgestellt hat. Sie sind Teil des Intel Platform Update (IPU) -Prozesses. Berichten zufolge arbeitet Intel mit rund 300 Organisationen zusammen, um die Veröffentlichung dieser Updates vorzubereiten und zu koordinieren.

www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4

Intel deckt 77 Sicherheitslücken auf, aber noch keine wurden in freier Wildbahn ausgenutzt:

In diesem Monat hat Intel Berichten zufolge insgesamt 77 Sicherheitslücken aufgedeckt, die von Prozessoren über Grafiken bis hin zu Ethernet-Controllern reichen. Abgesehen von 10 Fehlern wurden die restlichen Fehler von Intel bei eigenen internen Tests entdeckt. Während die meisten Sicherheitslücken eher geringfügig sind und nur einen begrenzten Anwendungsbereich und Auswirkungen haben, könnten nur wenige bemerkenswerte Auswirkungen auf die Intel-Produkte haben. In diesem Jahr gab es einige Entdeckungen zu Sicherheitslücken in Intel-Produkten, die nicht nur die Sicherheit, sondern auch die Leistung und Zuverlässigkeit beeinträchtigen könnten.

Intel hat versichert, dass derzeit alle 77 Sicherheitslücken gepatcht oder behoben werden. Einer der Fehler, der offiziell als CVE-2019-0169 gekennzeichnet ist, weist jedoch einen Schweregrad von CVSS 9.6 auf. Es ist unnötig zu erwähnen, dass Bewertungen über 9 als „kritisch“eingestuft werden. Dies ist der höchste Schweregrad. Derzeit enthält die dedizierte Webseite für den Fehler keine Details. Dies weist darauf hin, dass Intel Informationen zurückhält, um sicherzustellen, dass die Sicherheitslücke nicht übernommen und ausgenutzt werden kann.

twitter.com/chiakokhua/status/1194344044945530880?s=19

Anscheinend befindet sich CVE-2019-0169 in der Intel Management Engine oder einer ihrer Unterkomponenten, einschließlich Intel CSME, einem eigenständigen Chip auf Intel-CPUs, der für die Remoteverwaltung verwendet wird. Bei korrekter Bereitstellung oder Ausnutzung kann die Sicherheitsanfälligkeit es einer nicht autorisierten Person ermöglichen, die Eskalation von Berechtigungen zu aktivieren, Informationen zu kratzen oder Denial-of-Service-Angriffe über benachbarten Zugriff bereitzustellen. Die Hauptbeschränkung des Exploits besteht darin, dass physischer Zugriff auf das Netzwerk erforderlich ist.

Eine weitere Sicherheitslücke mit einer "wichtigen" CVSS-Bewertung besteht im Subsystem des Intel AMT. Der Fehler, der offiziell als CVE-2019-11132 gekennzeichnet ist, könnte es privilegierten Benutzern ermöglichen, den Zugriff auf das Vinetwork zur Eskalation von Berechtigungen zu aktivieren. Einige der anderen bemerkenswerten Sicherheitslücken mit dem von Intel angesprochenen Rating "Hoher Schweregrad" sind CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 und CVE-2019-0131.

Canonical kündigt # Ubuntu-Updates an, um die neuesten Sicherheitsanfälligkeiten von Intel zu verringern. Https://t.co/12ewhlNRkW vi @ MariusNestor pic.twitter.com/DDfJriz4QQ

- Softpedi (@Softpedia), 12. November 2019

"JCC Erratum" -Fehler wirkt sich auf die meisten kürzlich veröffentlichten Intel-Prozessoren aus:

Sicherheitslücke, genannt "JCC Erratum", ist vor allem wegen der weit verbreiteten Auswirkungen besorgniserregend. Dieser Fehler scheint in den meisten kürzlich veröffentlichten Prozessoren von Intel vorhanden zu sein, darunter Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whisky Lake, Comet Lake und Kaby Lake. Im Gegensatz zu einigen zuvor entdeckten Fehlern kann dieser Fehler übrigens mit Firmware-Updates behoben werden. Intel behauptet, dass das Anwenden der Updates die Leistung der CPUs zwischen 0 und 4% leicht beeinträchtigen könnte. Berichten zufolge hat Phoronix die negativen Auswirkungen auf die Leistung nach Anwendung der JCC Erratum-Abschwächungen getestet und kommt zu dem Schluss, dass dieses Update allgemeinere PC-Benutzer betrifft als die früheren Software-Abschwächungen von Intel.

Sicherheitslücken in Mikroarchitekturprozessoren wie Spectre und Meltdown waren schlecht, aber zumindest Intel hat sie umgehend behoben. Jetzt scheint es, dass ein weiterer tiefsitzender Chipfehler mehr als ein Jahr lang im Intel-Silizium verblieben ist, nachdem das Unternehmen davor gewarnt wurde.

- Andy Greenberg (@a_greenberg), 12. November 2019

Intel hat sichergestellt, dass keine realen Angriffe gemeldet oder bestätigt wurden, die auf den entdeckten Sicherheitslücken beruhen. Im Übrigen hat es Intel Berichten zufolge äußerst schwierig gemacht, genau herauszufinden, welche CPUs sicher oder betroffen sind.