Sicherheitslücke: Intel zahlt $100.000 Prämie für neue Spectre-Lücke

Intels im Frühjahr aktualisiertes Bug Bounty Program hat 100.000 US-Dollar an einen „Hacker“ gezahlt, der eine weitere Spectre-Lücke aufgedeckt hat. Die Statistiken zeigen, dass Intel in den letzten Wochen des öfteren fünfstellige Beträge ausgeschüttet hat.

100.000 US-Dollar für Finder der Spectre-1.1-Lücke

Mit dem Auszahlen von höheren Geldbeträgen wollte Intel die Community ermuntern, auch das Auffinden von Sicherheitslücken in ihren Prozessoren zu forcieren. Dies scheint zumindest ein wenig geholfen zu haben, allein in den letzten Wochen wurden mehrmals 20.000, 30.000 und gestern dann erstmals 100.000 US-Dollar als Prämie ausgeschüttet. Diese gehen an den Finder der Lücke „Spectre 1.1“ (CVE-2018-3693), die auf das ursprüngliche Spectre-Problem (CVE-2017-5753) und der spekulativen Sprungvorhersage primär in Intel-Prozessoren aufsetzt. Wie zuvor ist das kein Intel-exklusives Problem, auch ARM soll laut den Programmieren betroffen sein (PDF-Dokument). Das einzig Positive an der neuen Lücke ist, dass diese bereits mit den ersten Anti-Spectre-Patches via Hardware und auch Software (Betriebssystem, Browser) geschlossen wird.

12 Sicherheitsprobleme im Juli gemeldet

Intels Security Center zeigt zum 10. Juli insgesamt zwölf Problemstellen, die Hardware und Software des Herstellers betreffen. Die Hälfte der Probleme hat Intel nach seinem neuen Security-Konzept, welches nach Spectre und Meltdown seit Beginn dieses Jahres aktiv ist, selbst entdeckt. Für alle Probleme wurden zudem bereits entweder entsprechende Firmware- oder andere Softwareupdates bereitgestellt. Ein UEFI-Bug in den Xeon-Prozessoren wird per Hardware gefixed. Hier wurde laut Intel ein „reference fix was provided in the pre-production Intel Xeon Scalable processors Refresh“ freigegeben. Die kommenden neuen Xeon SP, Codename Cascade Lake-SP, sollen zusammen mit Whiskey Lake-U im Notebook die ersten Prozessoren von Intel sein, die gegen Spectre und Meltdown per Hardware geschützt sind.

Ein quartalsweiser Patchday bei Intel

Wie vollständig dieser Hardwareschutz am Ende aber ist, bleibt abzuwarten, da monatlich neue Probleme in der Richtung gefunden werden. Intel soll deshalb planen, quartalsweise neue Updates für Problemstellen und auch aktualisierte Microcodes für Prozessoren auszuliefern – je nach Schwere der Lücken aber auch so schnell wie möglich. Was auf der einen Seite nobel erscheint, könnte bei der Umsetzung mitunter aber für Probleme sorgen. Denn Microcodes werden in erster Linie immer noch über das BIOS/UEFI eingespielt, der Weg über das Betriebssystem ist die zweite Lösung. Bei Spectre/Meltdown hat dieses teilweise funktioniert, Microsofts eigentlich neuere Windows-10-Updates hatten die neuen Microcodes aber auch bereits wieder ausgeschlossen und später dann wieder integriert.