Werbung
Unverzichtbar für das Home Office: Webcams von Logitech


Intel meldet vier neue Datenlecks in seinen CPUs

Meldung von doelf, Dienstag der 14.06.2022, 23:52:51 Uhr

logo

Microsoft hat heute 55 Schwachstellen gestopft und darunter befinden sich auch vier Datenlecks in Prozessoren des Herstellers Intel. Während Microsofts Maßnahmen lediglich das Risiko von Angriffen mindern, müssen sich Firmware-Updates um die eigentlichen Ursachen kümmern.

Vier MMIO-Datenlecks
Die vier neuen Datenlecks in Intel-Prozessoren, welche Microsoft mit seinen Juni-Updates entschärft hat, stecken allesamt im Memory Mapped I/O (MMIO) der Prozessoren und werden durch zurückgelassene Datenreste hervorgerufen. Um sie ausnutzen zu können, benötigt man lokalen Zugriff. Während Microsoft diese Sicherheitslücken CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 und CVE-2022-21166 in die Kategorie hoch einordnet, spricht Intel von einer mittleren Gefahrenstufe und verweist darauf, dass diese Bugs intern gefunden wurden. Wer den Intel Attestation Service (IAS) verwendet, muss die notwendigen Mikrocode- und Software-Updates bis zum 19. (IAS-Produktionsumgebung, LIV) bzw. 21. Juni 2022 (IAS-Entwicklungsumgebung, DEV) installiert haben.

  • CVE-2022-21123 (CVSS v3.1: 6,1)
    Eine unvollständige Bereinigung von gemeinsam genutzten Mehrkernpuffern kann es einem authentifizierten Benutzer ermöglichen, über einen lokalen Zugriff an Informationen gelangen.
  • CVE-2022-21125 (CVSS v3.1: 5,6)
    Eine unvollständige Bereinigung von mikroarchitektonischen Füllpuffern kann es einem authentifizierten Benutzer ermöglichen, über einen lokalen Zugriff an Informationen gelangen.
  • CVE-2022-21127 (CVSS v3.1: 5,5)
    Eine unvollständige Bereinigung bei bestimmten Register-Lesevorgängen kann es einem authentifizierten Benutzer ermöglichen, über einen lokalen Zugriff an Informationen gelangen.
  • CVE-2022-21166 (CVSS v3.1: 5,5)
    Eine unvollständige Bereinigung bei bestimmten Register-Schreibvorgängen kann es einem authentifizierten Benutzer ermöglichen, über einen lokalen Zugriff an Informationen gelangen.

Und ein DoS-Angriff über MMIO
Eine fünfte Schwachstelle im Memory Mapped I/O (MMIO) lässt sich für DoS-Angriffe nutzen, Intel hat diese allerdings in eine separate Meldung ausgelagert:

  • CVE-2022-21180 (CVSS v3.1: 5,5)
    Eine unzureichende Eingabeprüfung im MMIO kann es einem authentifizierten Benutzer ermöglichen, bestimmte 14-nm-CPUs der Modellreihe Xeon E3 lahmzulegen. Dies funktioniert nur bei bestimmten virtualisierten Umgebungen, zudem benötigt der Angreifer einen lokalen Zugriff. Zur Abhilfe empfiehlt Intel die Aktualisierung der Virtualisierungssoftware bzw. des Betriebssystems. Laut Intel wurde dieser Fehler intern entdeckt und untersucht.

Die betroffenen Prozessoren
Intel hat zudem eine Liste der betroffenen CPU-Modelle bereitgestellt. Während sich CVE-2022-21127 in der Rubrik für die Jahre 2018 bis 2021 befindet, wurden CVE-2022-21123, CVE-2022-21125 und CVE-2022-21166 dem Jahr 2022 zugeordnet. Leider ist die Liste inzwischen sehr lang, breit und unübersichtlich geworden. Es wäre sinnvoller, wenn die Besucher den Namen ihre CPU angeben könnten und dann eine Auflistung der zutreffenden Fehler erhalten würden.

Wichtig: Zu einem weiteren Datenleck namens Hertzbleed (CVE-2022-24436) haben wir eine eigene Meldung veröffentlicht, da dieses nicht nur Prozessoren von Intel betrifft.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]