Kritische Sicherheitslücken in Intel-Prozessoren entdeckt

Forscher an der TU Graz und KU Leuven haben nach den Sicherheitslücken Meltdown und Spectre eine weitere gravierende Lücke in Intel-Prozessoren gefunden: Zombieload (CVE-2018-12130). Golem berichtet, dass Intel schon seit längerer Zeit über den Fehler Bescheid wusste. Intern wurde der Fehler auch Microarchitectural Data Sampling (MDS) genannt.

Der Fehler besteht darin, dass über Seitenkanäle Code zur spekulativen Ausführung ausgelesen werden kann. Prozessoren mit Hyperthreading sind für Seitenkanäle-Angriffe besonders anfällig. Zwar kann Hyperthreading ausgeschaltet werden, aber dies kann den Prozessor um 40 Prozent langsamer machen.

Kurz nach der Bekanntgabe der Lücken wurden entsprechende Updates von Intel bereitgestellt. Nach Informationen von Heise stehen für Linux bereits Patches zur Verfügung – deutlich schneller als zu Zeiten der Sicherheitslücken Spectre und Meltdown. Die Änderungen wurden direkt in der Entwicklung des Linux Kernels 5.2 aufgenommen.

Neben Zombieload wurden weitere Lücken in den Intel-Prozessoren bekannt gemacht. Einer Heise-Meldung zufolge wurde eine davon als kritisch eingestuft: CVE-2019-0153. Hacker mit Internetzugang können dadurch weitere Zugriffsrechte erwerben. Der Angriff wäre jedoch sehr aufwändig.