Intel-Produkte: Dutzende Sicherheitslücken von CPUs über Grafik bis NUC
Während medial die Meltdown-ähnliche Attacke Load Value Injection (LVI) die meiste Aufmerksamkeit erregt, ist die Lücke mit 5,6 auf der 10er Skala nur mittelschwer. Andere Probleme sind weitaus gravierender. Dutzende CVEs wurden erstellt, die bis zu einer Schwere von 8,6 reichen und damit als sehr hoch eingestuft sind.
Schwere Lücken bei integrierter Grafik und NUCs
Allen voran gehen direkt 17 Probleme in Intels Grafikeinheiten, die mit einem CVE-Score von bis zu 8,4 eingestuft werden. Sie decken dabei fast alle Bereiche ab, von möglichen DoS-Attacken, Rechteausweitungen bis hin zur Informationsfreigabe. Betroffen sind alle Intel-Produkte mit Grafik seit Ivy Bridge bis einschließlich der 10. Generation Core, da sie primär durch Lücken im Grafiktreiber ermöglicht werden. Aktualisierte Grafiktreiber sollen die Probleme beseitigen.
Ein hohes Sicherheitsrisiko gibt es auch bei nahezu allen jüngeren Intel NUC und ComputeSticks. Zwei Probleme wiegen dort mit bis zu 7,8 Punkten schwer, da sie Zugriff auf Daten über die ursprünglichen Rechte erlauben. BIOS-Updates für die betroffenen Modelle sollen Abhilfe schaffen.
Mit 8,6 Punkten auf der CVE-Skala wird eine Lücke in Intel Smart Sound eingestuft. Auch diese erlaubt eine Rechteausweitung, in der Fachsprache escalation of privilege genannt. Softwareupdates für die aktuelle achte und zehnte Core-Generation sollen diese Lücke schließen.
Keine Intel-CPU ist sicher
Bei Prozessoren ist die eingangs erwähnte Load Value Injection (LVI) das neueste Problem, bei dem es sich wieder um eine von Intels größten Schwachstellen neben Hyper-Threading, Intel SGX, dreht. Einmal mehr betrifft sie alle Prozessoren seit Sandy Bridge, inklusive der letzten Server-CPU-Generation Cascade Lake-SP, die zum Start als relativ sicher verkauft wurde. Dieses Mal ist laut umfangreicher Liste aber auch Ice Lake betroffen – damit ist keine CPU-Generation der letzten zehn Jahre gegen das Problem gewappnet.
Eine extrem umfangreiche Dokumentation soll betroffenen Kunden helfen, diese Lücke zu verstehen und zu beseitigen. Alle neuen Sicherheitsupdates hat Intel auf ihrer Security-Webseite aufgeführt.