Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.333 Produkten

Olivia von Westernhagen 22

Schwachstelle in Intels SPI-Flash: Erste Firmware-Updates veröffentlicht

Prozessorlücke, Meltdown, Spectre, Hardare, Motherboard, Intel, Prozessor, CPU

Ein Sicherheitsproblem in Intel-Chipsätzen ermöglicht lokalen Angreifern Firmware-Manipulationen bis hin zum Denial-of-Service. Als erster Hersteller stellt nun Lenovo BIOS/UEFI-Updates bereit.

In einem Anfang April veröffentlichten Sicherheitshinweis hat Intel vor konfigurationsbedingten Angriffsmöglichkeiten auf SPI-Flash-Chips in mehreren Chipsätzen mittels unsicherer Opcodes gewarnt. Zugleich stellte das Unternehmen auch Fixes bereit, die Lenovo nun als erster Hardware-Hersteller zu Firmware-Updates verarbeitet hat. Eine detaillierte Liste betroffener Geräte nebst Update-Links findet sich auf der Hersteller-Webseite.

Anzeige

Das von der Sicherheitslücke mit der Kennung CVE-2017-5703 ausgehende Risiko wurde mit einem CVSS-v3-Score von 7.9 als hoch bewertet. Eigenen Angaben zufolge hat Intel das Problem intern entdeckt. Hinweise auf aktive Exploits "in the wild" wurden bislang nicht bekannt; dennoch ist zu hoffen, dass weitere Hersteller Lenovos Beispiel zügig folgen.

Im SPI-Flash-Speicher befindet sich die Firmware, auf die der Rechner während des Boot-Prozesses zugreift. Laut Lenovos Beschreibungen könnte ein Angreifer diese löschen oder auch manipulieren, um Firmware-Updates zu unterbinden oder den Boot-Vorgang komplett zu sabotieren (Denial-of-Service). Unter bestimmten, jedoch eher seltenen Umständen sei auch die Ausführung beliebigen eigenen (Schad-)Codes durch den Angreifer möglich.

Wie der Angriff im Detail abläuft, geht aus Intels Sicherheitshinweis nicht hervor; da von einem "lokalen Angreifer" die Rede ist, scheint aber physischer Zugriff auf die Hardware notwendig zu sein.

(ovw)

22 Kommentare

Themen:

Anzeige
  1. Sicherheitslücke in HP-Druckern – Firmware-Updates stehen bereit

    Hewlett-Packard-Logo

    Unter Verwendung spezieller Malware können Angreifer aus der Ferne auf Drucker von HP zugreifen und dort unter anderem gerätespezifische Befehle ausführen. Der Hersteller hat Updates bereitgestellt und empfiehlt die umgehende Aktualisierung.

  2. Intel stopft neue Sicherheitslücken der Management Engine (SA-00086)

    Intel-Chipsatz B150

    Intels Security Advisory SA-00086 beschreibt mehrere Fehler in der Firmware der Management Engine (ME 11.0 bis 11.7), in Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0).

  3. Hunderttausende Infineon-Sicherheits-Chips weisen RSA-Schwachstelle auf

    Trusted Platform Module TPM 2.0 Infineon SLB9665TT20

    Viele Hardware-Hersteller verbauen Trusted Platform Modules (TPMs) von Infineon. In denen befindet sich bereits seit 2012 eine Lücke, die die Sicherheit von RSA aushebelt. Einige Hersteller haben Sicherheitsupdates veröffentlicht; andere stehen noch aus.

  4. Meltdown und Spectre: Spontane Neustarts nach Updates von Intels Haswell- und Broadwell-CPUs

    Meltdown und Spectre: Spontane Neustarts nach Updates von Intels Haswell- und Broadwell-CPUs

    Manche Nutzer von Haswell- und Broadwell-Prozessoren kämpfen laut Intel mit spontanen System-Neustarts. Intel sucht derzeit noch die Ursache.

  1. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  2. Die Neuerungen von Linux 4.11

    Linux-Kernel 4.11

    Die neue Kernel-Version unterstützt moderne Stromspartechniken besser und kann so die Akkulaufzeit steigern. Die Entwickler haben Grundlagen gelegt, um auf x86-64-Systemen bald bis zu 1 Petabyte Arbeitsspeicher ansprechen zu können. Die nächste Kernel-Version bringt zudem eine Technik, um die 3D-Beschleunigung von Radeon-GPUs in VMs nutzen zu können. Auch die Unterstützung für den Raspberry Pi wird besser.

  3. Netzwerkdrucker absichern - so geht's

    Netzwerkdrucker sind eine praktische Hilfe in jedem Büro. Doch sie können auch ein Sicherheitsrisiko darstellen!

  1. Denkt an die Fische! PETA rügt Far Cry 5, weil man darin angeln kann

    Denkt an die Fische: PETA rügt Far Cry 5, weil man darin angeln kann

    Spiele wie Far Cry 5 dürfen in Deutschland nicht mehr auf den Markt kommen, fordert die Tierschutzorganisation PETA. Der Grund: Man kann darin angeln. Es ist nicht das erste Mal, dass PETA die Gaming-Community provoziert.

  2. Vorstellung: Opel Combo Life

    Opel Combo Life

    Kurz nach Peugeot Rifter und Citroën Berlingo stellt Opel seinen Ableger Combi Life auf dieser Basis vor. Der Überraschungseffekt ist denkbar gering, die drei Modelle gleichen sich bis ins Detail.

  3. C++ Core Guidelines: Regeln zur Concurrency und zur Parallelität

    C++ Core Guidelines: Regeln zur Concurrency und zur Paralellität

    C++11 war der erste C++-Standard, der sich mit Concurrency beschäftigt. Der zentrale Baustein für Concurrency ist ein Thread. Dies ist der Grund, dass die meisten der Regeln sich mit Threads beschäftigen. Dies ändert sich dramatisch mit C++17.

  4. heise devSec 2018: Call for Proposals um eine Woche verlängert

    heise devSec 2018: CfP um eine Woche verlängert

    Bis zum 29. April haben Experten nun noch Zeit, ihre Vorträge für die Konferenz zum Thema sichere Softwareentwicklung einzureichen.

Anzeige