Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 04/2018
  4. Schwachstelle in Intels SPI-Flash: Erste Firmware-Updates…

Schwachstelle in Intels SPI-Flash: Erste Firmware-Updates veröffentlicht

16.04.2018 15:14 Uhr Olivia von Westernhagen
vorlesen
Prozessorlücke, Meltdown, Spectre, Hardare, Motherboard, Intel, Prozessor, CPU

Ein Sicherheitsproblem in Intel-Chipsätzen ermöglicht lokalen Angreifern Firmware-Manipulationen bis hin zum Denial-of-Service. Als erster Hersteller stellt nun Lenovo BIOS/UEFI-Updates bereit.

In einem Anfang April veröffentlichten Sicherheitshinweis hat Intel vor konfigurationsbedingten Angriffsmöglichkeiten auf SPI-Flash-Chips in mehreren Chipsätzen mittels unsicherer Opcodes gewarnt. Zugleich stellte das Unternehmen auch Fixes bereit, die Lenovo nun als erster Hardware-Hersteller zu Firmware-Updates verarbeitet hat. Eine detaillierte Liste betroffener Geräte nebst Update-Links findet sich auf der Hersteller-Webseite.

Das von der Sicherheitslücke mit der Kennung CVE-2017-5703 ausgehende Risiko wurde mit einem CVSS-v3-Score von 7.9 als hoch bewertet. Eigenen Angaben zufolge hat Intel das Problem intern entdeckt. Hinweise auf aktive Exploits "in the wild" wurden bislang nicht bekannt; dennoch ist zu hoffen, dass weitere Hersteller Lenovos Beispiel zügig folgen.

Angreifer muss vor Ort sein

Im SPI-Flash-Speicher befindet sich die Firmware, auf die der Rechner während des Boot-Prozesses zugreift. Laut Lenovos Beschreibungen könnte ein Angreifer diese löschen oder auch manipulieren, um Firmware-Updates zu unterbinden oder den Boot-Vorgang komplett zu sabotieren (Denial-of-Service). Unter bestimmten, jedoch eher seltenen Umständen sei auch die Ausführung beliebigen eigenen (Schad-)Codes durch den Angreifer möglich.

Wie der Angriff im Detail abläuft, geht aus Intels Sicherheitshinweis nicht hervor; da von einem "lokalen Angreifer" die Rede ist, scheint aber physischer Zugriff auf die Hardware notwendig zu sein.

(ovw)

Kommentare lesen (22 Beiträge)

Forum zum Thema: Desktopsicherheit

https://heise.de/-4024853 Drucken
Mehr zum Thema:
Intel Mainboards Prozessoren
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Wie geht das denn auf?
    Das Äquivalent von 700 Euro in Monero zu dem heutigen Kurs waren vor 6 Monaten noch 220 Euro. So richtig glaubwürdig sind die Zahlen aber immer…

    Forum:  Statt Erpressungstrojaner: Krypto-Miner auf dem Vormarsch

    phixx hat keinen Avatar
    von phixx; vor 2 Minuten
  2. Re: Was ist denn ein "Klartext-URL"?
    flack schrieb am 23.04.2018 12:43: Exakt! Aber Pressemitteilungen werden für ahnungslose Agenturen veröffentlicht, damit die diesen Strunz in…

    Forum:  RSA Conference: Unsichere Konferenz-App leakt Teilnehmerliste

    bazzo hat keinen Avatar
    von bazzo; vor 24 Minuten
  3. NIST vs. BSI
    Bietet dieses Framwork etwas Wesentliches, was der BSI-Grundschutz nicht bietet? Mein Englisch ist nicht so super gut und ich will das…

    Forum:  Schutz kritischer Infrastrukturen: NIST veröffentlicht Cybersecurity Framework 1.1

    Avatar von onkel.henry
    von onkel.henry; vor 45 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2409212
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien