Echo des Spectre-Debakels hallt nach

100.000 US-Dollar als Prämie für Berichten eines neuen Bugs ausgezahlt

Vor ein paar Monaten war die Sicherheitslücke "Spectre" in der Computerfachwelt in aller Munde. Im Kern handelt es sich bei Spectre um fehlerhafte Pfadprogonosen, die Hacker ausnutzen können, um Zugriff auf private Daten zu erlangen. Seitdem hat Intel unter Hochdruck daran gearbeitet, diese Lücke und damit verbundene Bugs zu schließen. Eine der dafür eingerichteten Maßnahmen war das sogenannte Bug Bounty Program, im Rahmen dessen Nutzer eine Belohnung für das Einreichen eines wichtigen Bugs erhalten.




In den letzten Monaten hat Intel immer wieder fünfstellige US-Dollar-Beträge an Community-Mitglieder ausgezahlt, die beim Auftreiben aktueller Sicherheitsprobleme behilflich waren. Gestern hat das Unternehmen nun die Rekordsumme von 100'000 US-Dollar an einen Nutzer ausgezahlt, der sie auf eine neue Schwachstelle, die inzwischen "Spectre 1.1" getauft wurde, aufmerksam gemacht hat. Offiziell ist sie unter dem formelleren Namen CVE-2018-3693 bekannt.

Bis zum 10. Juli hat Intel insgesamt zwölf bisher unbekannte Sicherheitsprobleme gelöst, von denen sechs von den firmeneigenen Technikern gefunden wurden. In sämtlichen Fällen wurden die Lücken per Firmware oder Software-Patch adressiert. Ein besonders schwerwiegender Bug hing mit dem UEFI bei Xeon-Prozessoren zusammen und musste hardware-seitig behoben werden. Hierzu habe Intel der Vorproduktion der Intel Scalable-Prozessoren eingegriffen.

Das Spectre-Debakel hat eine Menge Kontroverse innerhalb der Hardware-Industrie ausgelöst und nicht nur Intel büßte einiges an Vertrauen unter seinen Kunden ein. Um dieses Vertrauen nun wenigstens teilweise zurückzugewinnen, veröffentlicht Intel vierteljährliche Patches. Bei besonders schwerwiegenden Sicherheitslücken reagiert das Unternehmen auch per Hot-Fix. Während das einerseits ein lobenswerter Ansatz ist, bleibt es ein für Nutzer umständlicher und suboptimaler Prozess. Immerhin werden Microcode-Updates üblicherweise per BIOS/UEFI auf den Prozessor aufgespielt und der bequemere Weg über das Betriebssystem ist noch mit Schwierigkeiten verbunden. Sollte Intel einen Weg finden, zukünftige Patches zuverlässig über das Betriebssystem zu installieren, wäre dem wenigstens ein bisschen geholfen.






Quelle: ComputerBase



News by Luca Rocchi and Marc Büchel - German Translation by Paul Görnhardt - Italian Translation by Francesco Daghini


Previous article - Next article
comments powered by Disqus
Echo des Spectre-Debakels hallt nach - Intel - News - ocaholic