Intel hat eine Sicherheitswarnung für bestimmte Core- und Xeon-Prozessoren veröffentlicht. Unbefugte mit einem direkten Zugang zu einem System können unter Umständen eine Schwachstelle ausnutzen, um höhere Benutzerrechte zu erlangen. Der Bug erlaubt laut Intel aber auch das auslesen vertraulicher Informationen und/oder ein Denial of Service.
Die Anfälligkeit mit der Kennung CVE-2023-23583 betrifft Prozessoren der zehnten, elften, zwölften- und dreizehnten Core-Generation (unter anderem Alder Lake und Raptor Lake) sowie der dritten und vierten Xeon-Generation (Ice Lake, Sapphire Rapids). Bewertet ist die Lücke mit 8,8 von 10 möglichen Punkten im Common Vulnerability Scoring System.
Intel beschreibt den Fehler als eine „Abfolge von Prozessoranweisungen“, die bei „einigen Intel-Prozessoren zu einem unerwarteten Verhalten führen kann“. Geschlossen wird das Sicherheitsloch nun mit Firmware-Updates. Nutzer sind allerdings darauf angewiesen, dass ihnen ein solches Update vom Hersteller ihres Computer-Systems oder Mainboards angeboten wird.
Der Prozessorhersteller weist auch darauf hin, dass der CPU-Bug in erster Linie dazu führt, dass ein System abstürzt oder einfriert. Die Wahrscheinlichkeit, dass eine legitime und nicht schädliche Software die fraglichen überflüssigen REX-Prefixe nutzt, schätzt Intel als sehr gering ein.
Entdeckt wurde der Fehler Anfang des Jahres zuerst von einem Intel-Partner bei Tests einer Sapphire-Rapids-Umgebung. Ursprünglich sollte der Fehler im März 2024 behoben werden. Eine weitere Analyse von Intel ergab, dass der Fehler nicht nur Abstürze auslöst, sondern auch zu einer Erweiterung von Benutzerrechten führen kann. Daraufhin wurde die Veröffentlichung eines Patches auf November 2023 vorgezogen.
Darüber hinaus waren auch Sicherheitsforscher von Google unabhängig von Intel auf die Lücke gestoßen. Sie informierten das Unternehmen im August über ihre Erkenntnisse, verbunden mit der üblichen Frist von 90 Tagen für eine Offenlegung. Diese Frist endete am 14. November.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.