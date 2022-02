Intel zeigt sich zuversichtlich: Im Jahr 2021 wurden weniger Sicherheitslücken in der eigenen Hardware gefunden als noch in den zwei Jahren zuvor, wenn auch nur knapp mit einem Abstand von 226 (2021) zu 231 (2020) zu 236 (2019). An der Entdeckung der meisten Fehler war Intel selbst beteiligt, zum einen durch eigene Forschungsteams, zum anderen mit einem bezahlten Bug-Bounty-Programm.

Die meisten Sicherheitslücken betrafen die eigenen integrierten Grafikeinheiten (52), Netzwerkkarten (34) sowie Software-Anwendungen (ebenfalls 34). Bei den Prozessoren kamen 22 neue hinzu, darunter eine gute Handvoll mit "hohem" Risiko.

Erfolgreiches Bug-Bounty-Programm

Innerhalb des Bug-Bounty-Programms bekommt man derweil zwischen 500 und 100.000 US-Dollar für das Melden einer Sicherheitslücke – je nachdem, wie schwerwiegend die Sicherheitslücke und wie umfangreich der Bericht ist. Mit dem Project Circuit Breaker will Intel die Zusammenarbeit mit der Security-Community fortan ausbauen. Innerhalb dieses Programms finden monatelange Events statt, in denen Intel bestimmte Hardware verteilt und mit Forschenden zusammenarbeitet, um Sicherheitslücken zu finden – ebenfalls mit Geldbelohnungen. Los geht es mit nicht mehr ganz aktueller Hardware: Tiger-Lake-Prozessoren aus der vergangenen Generation Core i-11000.

Im Bericht zu 2021 resümiert Intel, dass die Hälfte der 226 geschlossenen Sicherheitslücken intern gefunden wurde. Auf weitere 97 Sicherheitslücken machten Dritte über das Bug-Bounty-Programm aufmerksam. Die restlichen 16 Sicherheitslücken meldeten etwa Universitäten ohne Beteiligung seitens Intels.

Insbesondere Intels Converged Security and Mangement Engine (CSME) steht inzwischen deutlich besser da als in den vorangegangenen Jahren, als die proprietäre Security-Hardware aufgrund schwerwiegender Lücken wiederholt ihr Fett wegbekam. Damals firmierte die CSME noch unter dem Namen Intel Management Engine (IME). Im Jahr 2021 machte Intel sechs Sicherheitslücken mit "mittlerem" Risiko ausfindig, von extern wurde keine einzige gemeldet.

Seitenhiebe an AMD

Ein Seitenhieb an AMD darf in einer Intel-Präsentation mit Statistiken natürlich nicht finden. Intel hebt hervor, dass 2021 mehr Sicherheitslücken in AMD-Prozessoren gefunden wurden (31), als Intel bei den eigenen meldete (16 + 6 extern entdeckte). Bei den GPUs steht es 51 (Intel) zu 27 (AMD), allerdings merkt Intel in den Fußnoten an, dass 23 der eigenen Sicherheitslücken die zugekaufte AMD-Radeon-GPU der Prozessorbaureihe Kaby Lake-G (Core i-8000G) betreffen.

(mma)