l+f: 54 Jahre unentdeckt – Mutter aller Sicherheitslücken

Die Referenzimplementierung des Bauplans aller Computer – der universellen Turing-Maschine – enthält einen kritischen Bug. Was bedeutet das für unsere IT?

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 228 Beiträge
Bitcoin

(Bild: Titima Ongkantong/Shutterstock.com)

Von
  • Jürgen Schmidt

Die universelle Turing-Maschine (UTM) gilt als der einfachste Bauplan für heutige Computer. Ganze 54 Jahre nach der Veröffentlichung von Minskys Referenzimplementierung einer solchen UTM, deckt jetzt ein Forscher eine Sicherheitslücke darin auf: Durch das Füttern der UTM mit speziell präparierten Daten könnte ein Angreifer beliebigen, eigenen Code in die Turing-Maschine einschleusen und ausführen.

Beunruhigend ist die Tatsache, dass sich ein solcher Fehler in die denkbar einfachste Umsetzung eines Computers einschleichen und dort so lange unentdeckt bleiben konnte. 54 Jahre – das allein könnte ein Rekord sein. Die MITRE hat der Schwachstelle jedenfalls jetzt den Eintrag CVE-2021-32471 vergeben.

Pontus Johnson vom KTH Royal Institute of Technology in Stockholm beschreibt die Details in "Intrinsic Propensity for Vulnerability in Computers? Arbitrary Code Execution in the Universal Turing Machine" und diskutiert dort auch die Frage, ob es sich dabei sogar um ein grundsätzliches Problem aller Computer handelt. Natürlich kommt er dabei auch auf die Kontroverse "von Neumann- versus Harvard-Architektur" zu sprechen und landet schließlich bei den berühmt-berüchtigten Weird Machines. In deren Häufigkeit sieht er letztlich die Wurzel des Problems – wie übrigens Forscher wie Thomas Dullien aka Halvar Flake auch.

RuhrSec 2018: "Keynote: Weird machines, exploitability and unexploitability", Thomas Dullien

Wir stellen an dieser Stelle jedoch klar, dass der Titel der Meldung rein prosaisch gemeint ist. Insbesondere erklärt der Entdecker, dass die jetzt gefundene Sicherheitslücke keine realen Konsequenzen hat. Die Welt wird also untergehen – aber sicher nicht heute.

Update 11.Mai 12:20: Minsky stellte seine UTM 1967 vor. Das war schon vor 54 Jahren, nicht 44 wie ursprünglich im Artikel stand. Überschrift und Text wurde entsprechend korrigiert.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)