TAA/MDS/RIDL_NG: Intel bestätigt 77 neue Sicherheitslücken und Fehler

Volker Rißka 488 Kommentare
TAA/MDS/RIDL_NG: Intel bestätigt 77 neue Sicherheitslücken und Fehler
Bild: Natascha Eibl | CC0 1.0

Sicherheitsprobleme in Intels Prozessoren halten auch Ende 2019 an. Dabei trifft es nicht nur die stetig auftauchenden Lücken in SGX und Management-Möglichkeiten, sondern auch eigentlich schon einmal gelöste Probleme: MDS/Zombieload kehrt zurück und betrifft dabei sogar alle neuen CPUs.

Alte Problemstellen nun auch für neue CPUs

Die zehnte Generation der Core-Prozessoren sowie Cascade Lake-SP auf die Liste der betroffenen Prozessoren nennen zu müssen, ist ein erneuter Image-Schaden für Intel. Denn genau diese neuen Generationen wurden zuletzt als relativ sicher verkauft, da sie viele der Probleme der letzten beiden Jahre bereits mit Hardware-Fixes begegnen. Doch nun sind auch dort stetige Microcode-Updates nötig, denn die Hardware lässt Löcher zurück. Die bisher bereitgestellten Gegenmaßnahmen schließen diese nur zum Teil.

Forscher sind sauer auf Intel

Die Forscher der VUSec der Universität Amsterdam, die TSX Asynchronous Abort (TAA) bereits im September 2018 fanden, sind deshalb sauer auf Intel. Der Konzern soll der Abwandlung von Zombieload nicht mit genügend Entschlossenheit begegnet sein, den Mai-Patch trotz besserem Wissens unvollständig veröffentlicht und weitere Informationen zurückgehalten haben. Auch versuchte Intel laut Medienberichten das Risiko anfangs herunterzuspielen, wollte dem Forscherteam im September 2018 beispielsweise lediglich 40.000 US-Dollar als Bounty auszahlen, berichtet Wired, erhöhten es später dann auf 80.000 und letztlich doch auf die volle Summe von 100.000 US-Dollar, die der Hersteller seit einiger Zeit öffentlich auslobt.

Intel lobt vornehmlich sich selbst

Während es rundherum um Intel viel Kritik gibt und die Webseite mdsattacks.com die neuen Informationen mit RIDL-NG aufarbeitet und eine interessante Chronik am Ende bereithält, klopft sich Intel parallel fast nur selbst die Schulter. So habe man 67 der 77 aktuellen Sicherheitsprobleme selbst gefunden, beschreibt der Hersteller in einem Blog-Posting, diese reichen bis zu einer Einstufung von 9,6 von maximal 10 Punkten und gelten als kritisch.

Nicht als Sicherheitslücke gilt ein gefundener Bug in aktuellen CPUs, das sogenannte Jump Conditional Code (JCC) Erratum – und auch dafür bedarf es neuer Microcode-Updates, die unter Umständen die Performance verringern können.

Ein Ende ist nicht absehbar

Wie bei den letzten großen Enthüllungen wird klar: Intels Prozessoren werden auch in naher Zukunft nicht sicher sein, es wird nur wieder einige Monate brauchen, bis die nächste Sicherheitsbombe explodiert.