ETH Zürich 19.10.2021, 14:31 Uhr

Sicherheitslücke bei Intel entdeckt

Ein internationales Forschungsteam mit Beteiligung einer ETH-​Professorin konnte eine Schwachstelle in der Sicherheitsarchitektur von Intel-​Prozessoren aufdecken. Auch Microsoft-​ und Google-​Produkte waren bis Juli davon betroffen.
Hardwarebasierte Kontrollmechanismen in Mikroprozessoren sollen Daten besser sichern
(Quelle: Ryan/Unsplash)
Vor wenigen Jahren hat die PC-Mikroprozessor-Herstellerin Intel eine Neuerung eingeführt, die grössere Datensicherheit verspricht: Sogenannte Software Guard Extensions (SGX). Dabei handelt es sich um hardwarebasierte Kontrollmechanismen, welche dafür sorgen, dass Daten auch dann sicher sind, wenn das Betriebssystem eines Computers lückenhaft sein bzw. angegriffen werden sollte.
«Betriebssysteme müssen eine riesige Zahl an Funktionen erfüllen und sind hochkomplex», erklärt Shweta Shinde, Assistenzprofessorin am Departement Informatik der ETH Zürich. Darum mache es Sinn, Anwendungen mit sensiblen Daten quasi vom Betriebssystem abzuschirmen. Die Software Guard Extensions ermöglichen dies mittels sogenannter Enklaven: Gewisse Bereiche dienen dem Schutz des Programmcodes jener Anwendungen, auf die das Betriebssystem nicht zugreifen können soll.

Schwachstelle in Sicherheitsarchitektur

Shinde und Ihre Forschungskollegen von der National University of Singapore (NUS) sowie der chinesischen National University of Defense Technology (NUDT) haben nun eine Schwachstelle in dieser Sicherheitsarchitektur entdeckt. Es ist ihnen nicht nur gelungen, Daten aus diesen Enklaven zu ziehen, sondern auch, beliebigen eigenen Code darin anzuwenden.
Die Entdeckung machten die Forschenden Anfang Mai 2021, worauf sie umgehend die beiden ihnen bekannten betroffenen Firmen, Intel und Microsoft, benachrichtigten. Dies entspricht dem üblichen Vorgehen in solchen Fällen. Mitte Juli behoben die beiden Firmen das Problem mittels Software-​Patches.
Die von den Forschenden in monatelanger Arbeit programmierte Attacke nennt sich SmashEx und ist in einem Paper dokumentiert, das soeben veröffentlicht wurde. Es wird offiziell am 15. November an der Konferenz «ACM CCS» vorgestellt.
Seite 1/2
Auf einer Seite lesen
  1. Sicherheitslücke bei Intel entdeckt
  2. Kein Grund zur Panik, aber eine Lektion
Artikel drucken
Leo Herrmann, ETH-News
Autor(in) Leo Herrmann, ETH-News
Das könnte Sie auch interessieren
Aufgepasst vor 4 Tagen
Vorsicht bei Erinnerungs-Mails zu nicht abgeholten Paketen von digitec.ch
Cyberkriminelle versenden aktuell vermehrt gefälschte E-Mails im Namen von digitec.ch, welche die Empfänger über angeblich nicht abgeholte Pakete informieren.
 
vor 4 Tagen
BACS vor 4 Tagen
Alle 8,5 Minuten eine Meldung zu einem Cybervorfall
Die Cyberbedrohungen nehmen deutlich zu: Durchschnittlich gingen beim Bundesamt für Cybersicherheit (BACS) bis Ende Oktober 2024 alle 8,5 Minuten eine Meldung zu einem Cybervorfall ein.
 
vor 4 Tagen
Smartphone-Tipps 05.11.2024
Lebensretter-Funktionen auf dem Smartphone
Für medizinische Notfälle lassen sich auf dem Handy Infos hinterlegen, die Rettungskräfte abrufen können. Dies kann im Ernstfall für wertvolle Zeitvorteile sorgen. Wir sagen, was Sie dazu wissen müssen und wie Sie die Informationen hinterlegen.
 
05.11.2024
Vorsicht 05.11.2024
Phishing-E-Mails im Namen der AHV
Das Bundesamt für Cybersicherheit (BACS) erhält derzeit Meldungen zu Phishing-E-Mails im Namen der "AHV-Ausgleichskasse".
 
05.11.2024