US-Kongress untersucht Geheimniskrämerei um Meltdown- und Spectre-Lücken

Den Ausschuss für Energie und Wirtschaft des US-Repräsentantenhauses beschäftigt die Frage, warum nur wenige Firmen vorab von den CPU-Sicherheitslücken Meltdown und Spectre wussten, obwohl die Schwachstellen praktisch jedes Technikunternehmen betreffen. Die Abgeordneten wollen nun herausfinden, ob diese „Insider“ die Folgen ihrer Geheimniskrämerei für andere Unternehmen bedacht haben.

Das geht aus einem Brief hervor, den die Abgeordneten Greg Walden, Gregg Harper, Bob Latta und Marsha Blackburn am Mittwoch an die CEOs von Intel, AMD, ARM, Apple, Microsoft, Amazon und Google verschickt haben. Sie kritisieren unter anderem, dass die ungeplante Offenlegung der Schwachstellen am 3. Januar einige Firmen „kalt erwischte“.

Zumindest bestimmte Mitarbeiter oder gar Abteilungen der fraglichen Unternehmen wussten mindestens seit Juni 2017 von den Fehlern in Prozessoren von Intel, AMD und ARM. Etwa zu dem Zeitpunkt sollen sie sich auch auf die Geheimhaltung sowie den Zeitplan für die gemeinsame Offenlegung geeinigt haben. Viele betroffene Parteien wurden durch das Embargo jedoch erst deutlich später informiert oder erhielten zu wenige Informationen, um den Ernst der Lage richtig einschätzen zu können.

Linux-Kernel-Entwickler hatten sich Anfang der Woche bereits über die „ungewöhnliche“ Offenlegung von Meltdown und Spectre beschwert. Eigentlich gebe es branchenweit gut etablierte und funktionierende Verfahren für den Umgang mit Software-Fehlern, diese seien jedoch bei den CPU-Lücken nicht angewandt worden. Die Software-Entwicklerin Jessie Frazelle, die bei Microsoft an Linux arbeitet, nannte das Embargo „ein absolutes Chaos“, das es künftig zu vermeiden gelte.

Das Sicherheitsteam von FreeBSD erfuhr beispielsweise erst Ende Dezember von den Anfälligkeiten sowie der zu dem Zeitpunkt für den 9. Januar geplanten Offenlegung. Als Folge konnte FreeBSD am 3. Januar, als Meltdown und Spectre durch einen Bericht von The Register öffentlich wurden, nicht einmal eine Schätzung für die Veröffentlichung von Patches nennen. Dem Brief zufolge soll zudem der US-Cloudanbieter DigitalOcean das angeblich von Intel initiierte Embargo scharf kritisiert haben. Es habe die Möglichkeiten des Unternehmens, die Folgen von Meltdown und Spectre einzuschätzen, stark eingeschränkt. Das US-CERT, das eigentlich dafür zuständig sei, die Branche über Sicherheitslücken zu informieren, habe ebenfalls erst am 3. Januar von Meltdown und Spectre erfahren.

Von den CEOs wollen die Abgeordneten nun wissen, warum das Embargo eingesetzt wurde und wer es vorgeschlagen hat. Sie wollen auch wissen, wann US-CERT und CERT/CC informiert wurden. Die CEOs sollen außerdem erklären, ob sie die möglichen Folgen für Anbieter kritischer Infrastrukturen und anderer IT-Dienste abgewägt haben.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.