[English]Noch ein Nachtrag von dieser Woche. Intel hat in einem Sicherheitshinweis öffentlich gemacht, dass seine Prozessoren von BIOS-Fehlern tangiert sind. Potenzielle Sicherheitslücken im BIOS-Referenzcode für einige Intel Prozessoren können eine Rechteausweitung (Privilege Escalation) ermöglichen. Intel gibt über die Board-Hersteller Firmware-Updates heraus, um diese potenziellen Schwachstellen zu entschärfen.
Anzeige
Im Sicherheitshinweis INTEL-SA-00562 heißt es, dass potenzielle Sicherheitslücken im BIOS-Referenzcode für einige Intel Prozessoren eine Ausweitung der Berechtigungen ermöglichen können. Intel gibt Firmware-Updates heraus, um diese potenziellen Schwachstellen zu entschärfen.
Schwachstelle CVE-2021-0157
Die Schwachstelle CVE-2021-0157 basiert darauf, dass ein unzureichendes Kontrollflussmanagement in der BIOS-Firmware für einige Intel(R)-Prozessoren es einem privilegierten Benutzer ermöglichen kann, eine Eskalation der Privilegien über lokalen Zugriff durchzuführen. Der CVSS Base Score für diese Schwachstelle liegt bei 8.2 (Hoch).
Schwachstelle CVE-2021-0158
Die Schwachstelle CVE-2021-0158 resultiert aus einer unsachgemäße Eingabevalidierung in der BIOS-Firmware für einige Intel(R)-Prozessoren. Dies kann es einem privilegierten Benutzer eine Eskalation der Privilegien über einen lokalen Zugriff ermöglichen. Der CVSS Base Score für diese Schwachstelle liegt bei 8.2 (Hoch).
Betroffene Prozessoren
- Intel® Xeon® Processor E Family
- Intel® Xeon® Processor E3 v6 Family
- Intel® Xeon® Processor W Family
- 3rd Generation Intel® Xeon® Scalable Processors
- 11th Generation Intel® Core™ Processors
- 10th Generation Intel® Core™ Processors
- 8th Generation Intel® Core™ Processors
- 7th Generation Intel® Core™ Processors
- Intel® Core™ X-series Processors
- Intel® Celeron® Processor N Series
- Intel® Pentium® Silver Processor Series
Intel empfiehlt Anwendern betroffener Prozessoren ein Update auf die neueste vom Board-Hersteller bereitgestellte Version, welches diese Probleme behebt. (via)
Anzeige
Anzeige
Zwei Fragen stellen sich mir:
1. Skylake ist wirklich nicht betroffen oder wird er nicht genannt, weil er vielleicht nicht mehr im Support ist? Die Unterschiede zu Kaby Lake sind ja eher marginal, weshalb sich diese Frage stellt.
2. Was wird aktualisiert, die ME oder der Microcode? ME kann man auch problemlos ohne ein neues BIOS vom Hersteller selbst aktualisieren.
Zur zweiten Frage:
Ich spekuliere, daß es *nicht* der Microcode ist. Denn dieser ließe sich ohne weiteres – wie bisher auch in aller Regelmäßigkeit praktiziert – über das Betriebssystem aktualisieren.
Eher mache ich mir Sorgen, daß die betroffene Prozessorgeneration(en) schon 5 Jahre alt sind. Im Endkundenbereich werden diese "Fixes" von Intel somit wahrscheinlich nicht über Mainboard-Hersteller verteilt werden.
Und da Intel selber ja auch keine Bretter mehr herstellt (nicht mal als OEM-Ware von Foxconn), sehe ich da recht schwarz.
Vermutlich ein weiterer Versuch der geplanten Obsoleszenz, Kunden zu Neukäufen zu bewegen. "Großer Fehler bekannt, wir stellen theoretisch einen Fix bereit, jeder kennt nun das Problem, aber verteilt wird der Fix nicht.".
Neue "Cyber-Attacken" incoming… der Rubel muß rollen!
Tesla Modell 3 setzt ja auch auf den Atom E3900 – könnte lustig werden. :-D
Hatte ich ja neulich mal geschrieben: Wenn man keinen echten Kaufanreiz bieten kann, holt man die Sicherheitskeule raus und jagt das Konsumvieh damit wieder in die Shops.
Wer kann schon beurteilen, ob die propagierte „potentielle Schwachstelle" für ihn überhaupt jemals relevant wird?
Ich sage es mal ganz hart, die meissten Konsumer trifft das doch eh nicht, deren Passwörter sind in den Passwortlisten unter den ersten 100 zu finden. Die posten selbst jeden privaten Mist online. Gezahlt wird Online mit Paypal, weil bequem und natürlich sind die Logindaten im Browser gespeichert. Sie sind der einzige Nutzer auf der Maschine und jede UAC Frage wird mit ja beantwortet. Also warum sich sorgen um eine Lücke in der CPU bzw im Bios machen. Ich selber sehe das auch schon unaufgeregt, mein Z390 Mainbard hat seit mehr als einem Jahr kein Update mehr erhalten da wird sich sicher auch diesmal niemand mehr drum kümmern. Was soll den auf meiner privaten Maschine groß passieren? Für Online Banking habe ich einen Leser und das muss man sich halt ansehen. Ansonsten kann er mir Dreck bei Amazon bestellen. Aber nur mir denn wenn er oder sie :) die Adresse ändert muss man erneut die Kontodaten angeben, die sind aber nicht auf meinem Rechner gespeichert. Ich benutze Windows 10 ich gehe nicht nur davon aus das mein Rechner nicht sicher ist, ich weiß es einfach.
Mein Arbeitsgerät, ein Lenovo Notebook, erhält seine Firmware Updates derweilen schon per Windows Update. Löst zwar das Windows Problem auch nicht aber he das Bios ist dafür Save :)
Lenovo, echt jetzt? Firmware mit Vollzugriff eines der schlimmsten Überwachungs- und Terror-Regimes des Welt! Bingo, der Kandidat hat 100 Punkte. Dagegen ist alles andere genannte aus demokratischen Rechtsstaaten in der Tat kein Vergleich. Dazu zählt übrigens auch Taiwan, die wahren, demokratischen Chinesen und somit renommierte Firmen wie Asus, MSI,…
Jeder bekommt die Sicherheit, die er verdient.
@Oliver L
Das China keine Demokratie ist da bin ich sogar noch dabei, der Rest ist doch ausgemachter Käse. Bis jetzt habe ich für solche Behauptungen wie sie gegen Huawei und Co immer wieder vorgebracht werden keine Beweise gesehen. Das man in den USA Cisco Hardware manipuliert wurde weiß man dafür aber sicher! Windwows 10 schickt auch jede Suchanfrage an Microsoft Server, deswegen hat vor ca. zwei Jahren das Starmenü auch nicht mehr funktioniert weil eben jener Server down war ;)
Das mit dem Microcode habe ich auch schon gedacht.
Da Kaby Lake dieselben Boards wie Skylake nutzt, wäre es etwas unsinnig, da zu unterscheiden.
Naja, bei Privatkunden wird diese Meldung gar nicht erst ankommen. Ich bezweifle auch, dass die vor 3 oder 4 Jahren bekannt gewordenen Lücken groß jemanden beeindruckt haben.
Wie gesagt, ME kann man selbst aktualisieren, dazu braucht man nicht den Boardhersteller. Mache ich auch regelmäßig.
aber nur die ME Treiber oder?
die ME Firmware die ja oft auch Sicherheitslücken hat, wird ja von Intel selbst nicht direkt veröffentlich, zumindest hab ich die nie auf der Intel Seite gefunden. Und die Boardherstellen bringen fast nie Updates für die ME Firmware. Hier findet man nützliches Infos wie man die selbst aktualisieren könnte , wobei die Firmware von hier zu nehmen auch ein Problem ist…