Downfall: Sicherheitslücke in Intel-Prozessoren

Daniel Moghimi, Sicherheitsforscher bei Google, hat eine neue Sicherheitslücke in Intel-Prozessoren veröffentlicht. Die Lücke erlaubt es, Daten aus anderen Programmen und Speicherbereichen abzugreifen.

Moghimi erklärte auf einer eigens eingerichteten Website: „Die Sicherheitslücke wird durch Speicheroptimierungsfunktionen in Intel-Prozessoren verursacht, die unbeabsichtigt interne Hardwareregister für Software offenlegen. Dadurch kann nicht vertrauenswürdige Software auf Daten zugreifen, die von anderen Programmen gespeichert werden und normalerweise nicht zugänglich sein sollten. Ich habe entdeckt, dass der Gather-Befehl, der den Zugriff auf verstreute Daten im Speicher beschleunigen soll, bei spekulativer Ausführung den Inhalt der internen Vektorregisterdatei preisgibt“.

Ähnliche Fehler mit spekulativen Funktionen gab es schon früher, der bekannteste war wahrscheinlich Spectre aus dem Jahr 2017. Der Fehler kann auch auf Servern ausgenutzt werden, um in isolierte Benutzerbereiche einzudringen. Passwörter, Verschlüsselungscodes und andere sensible Daten können durch Schadsoftware gestohlen werden, besonders kritisch ist, dass Antivirenprogramme den Zugriff bisher nicht erkennen können.

Betroffen sind Intel-Core-Prozessoren ab der 6. Generation (Skylake) bis einschließlich der 11. Generation (Tigerlake). Eine genaue Auflistung findet sich bei Intel, inklusive der nötigen Updates. Der Performance-Impact nach dem Update der betroffenen Prozessoren wird derzeit noch untersucht, kann aber in besonderen Situationen 50 Prozent betragen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Als ehrenamtlicher First-Level-Support und quasi Apple-Jünger, der gerne seine Lebenszeit in Tech-Blogs verbrennt, stehe ich auch gerne für hitzige Diskussionen zur Verfügung.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Da hab ich ja richtig Glück, dass ich mit meinem uralten i5-4258U (4. Generation) dieses mal außen vor bin. Bis zu 50 Prozent Performance-Einbußen klingt schon sehr scheiße.

    • Na ja, diese Sicherheitslücken sind eher für Server relevant, die in isolierten Umgebungen Fremdsoftware ausführen, die dann Daten von anderen Benutzern auslesen könnte.

      Wenn sowas auf dem Heimrechner bereits läuft, dann hat die Software Zugriff auf all deine Daten eh schon.
      Es sei denn man hat eine Möglichkeit gefunden, das per Javascript im Browser auszunutzen

  2. puh, mein fast 4 Jahre altes Thinkpad hatte ich damals extra mit AMD-CPU gekauft 😀

  3. Bei 50% Performance-Einbußen würde mich interessieren, wie in einem solchen Fall die Schadensersatzansprüche sind.
    Ich stelle mir vor, mein Auto muss wegen einees Rückrufes in die Werkstatt und fährt danach nur noch 90, statt den im Fahrzeugschein angegebenen 180km/h.

    • Heisenberg says:

      +1 würde mich auch interessieren!

    • In den USA könntest du eine Sammelklage machen und $27 zurück bekommen, wenn du fie CPU in der letzten 17 Monaten gekauft hättest.

      • Wenn deshalb Projekte mit 100.000€ Umsatz nicht fristgerecht oder vielleicht sogar gar nicht fertig werden, sind mehr als 27$ fertig.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.