Intel hat ein schwerwiegendes Sicherheitsproblem im Zusammenhang mit seinem Driver Update Utility behoben. Es ermöglichte es Angreifern, mittels eines Man-in-the-middle-Angriffs beliebigen Code auf das System zu schleusen und auszuführen. Betroffen sind die Software-Versionen 2.0, 2.1, 2.2 und 2.3. Mit der neuen Version 2.4 wurde die Lücke geschlossen.
Die anfälligen Versionen 2.0 bis 2.3 der Treiberaktualisierungs-Software nutzten jedoch eine unverschlüsselte Verbindung, um Kontakt zu Intels Servern aufzunehmen. Dadurch konnten Angreifer den Datenverkehr theoretisch aus der Ferne einsehen und manipulieren, um über das Intel-Tool Malware oder anderen Schadcode auf das System zu laden. Die aktualisierte Version 2.4 des Driver Update Utility verwendet nun eine sichere SSL-Verbindung zur Kommunikation mit Intels Servern.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Entdeckt hatte die Schwachstelle (CVE-2016-1493) ein Mitglied des Sicherheitsforscherteams von Core Security. Wie das Unternehmen in einem Advisory erklärt, informierte es Intel erstmals am 12. November 2015 über den Fund. Als keine Antwort erfolgte, schickte es 14 Tage später eine weitere Mitteilung, die aber offenbar ebenfalls unbeantwortet blieb. Erst nachdem es sich am 14. Dezember direkt an den für das Update Utility zuständigen Produktmanager wandte, wurde Intel aktiv und forderte weitere Informationen zu dem Leck an. Anschließend einigten sich beide Parteien darauf, bis zur Veröffentlichung eines Patches die Lücke geheim zu halten.
Wieviele Anwender von dem Sicherheitsproblem betroffen sind, ist unklar. In einer eigenen Sicherheitsmeldung rät Intel allen Nutzern der unsicheren Varianten des Driver Update Utility dringend dazu, die fehlerbereinigte Version schnellstmöglich zu installieren. Sie steht auf der Hersteller-Website zum kostenlosen Download bereit.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
