Intel: Sicherheitslücke erlaubt Zugriff auf BIOS/EFI

Intel hat eine Schwachstelle im SPI-Flash-Speicher zahlreicher Prozessorreihen gemeldet, die vielfältige Angriffsmöglichkeiten bis hin zur Ausführung beliebigen Programmcodes bietet. Der Chiphersteller bewertet diesen Fehler mit 7,9 auf einer Skala bis 10 (CVSSv3) und damit relativ hoch. Die mit CVE-2017-5703 bezeichnete Sicherheitslücke sei intern bemerkt worden – und eine Entdeckung durch Außenstehende nicht bekannt.

SPI-Flash ist eine Komponente, die für den Rechnerstart erforderlich ist und als Speicher für die Firmware dient. Bei den betroffenen Chips erlaubt die SPI-Flash-Konfiguration „einem lokalen Angreifer, das Verhalten des SPI-Flash zu ändern, was möglicherweise zu einem Denial of Service führen kann“. Laut Intel hat das Problem keine Root-Ursache und ist mit einem bereits verfügbaren Fix zu beheben.

Den Nutzern empfiehlt Intel deshalb, die Supportseiten ihrer Systemhersteller auf aktuelle Sicherheitsupdates zu überprüfen. Offenbar als erster Hersteller hat inzwischen Lenovo reagiert und damit begonnen, für viele seiner Computermodelle BIOS/UEFI-Updates mit dem Fix anzubieten, der von Intel Anfang dieses Monats bereitgestellt wurde.

Lenovo nennt außerdem weitere Details zu möglichen Angriffen, die aus der Sicherheitswarnung des Chipherstellers nicht hervorgingen. Demnach könnte ein Angreifer die Schwachstelle ausnutzen, um das Booten eines Systems zu verhindern, seine Funktionsweise zu verändern oder beliebigen Code während der Startsequenz des Systems auszuführen.

„Die Konfiguration der System-Firmware-Komponente (SPI-Flash) könnte einem Angreifer erlauben, BIOS/UEFI-Updates zu blockieren oder selektiv Teile der Firmware zu löschen oder zu beschädigen“, heißt es weiter. „Das würde wahrscheinlich zu einer erkennbaren Fehlfunktion führen, könnte aber unter seltenen Umständen beliebige Codeausführung ermöglichen.“

Intels Sicherheitswarnung führt eine beträchtliche Anzahl gefährdeter Prozessortypen auf. Durch die Bank sind seine Core-Prozessoren von der fünften bis zur achten Generation betroffen. Die Liste verweist außerdem auf zahlreiche Chips aus Intels Produktpalette, die als Pentium, Celeron, Atom und Xeon in den Verkauf kamen.

Unklar bleibt allerdings wie bei den Microcode-Updates für die CPU-Sicherheitslücken Meltdown und Spectre, wie Nutzer an die von Intel entwickelten Updates kommen, die es nur seinen Partnern wie PC- und Mainboard-Herstellern zur Verfügung stellt. Einige davon haben jedoch schon früh signalisiert, dass sie die Updates nur für wenige aktuelle Produkte bereitstellen werden.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago