Wie Jamey Heary, Sicherheitsexperte und Leiter des Western Security Asset Teams bei Cisco, in seinem Blog bei Networkworld schreibt, steht den Nutzern von Intel-Prozessoren womöglich eine ernsthafte Bedrohung ins Haus. Heary bezeichnet die Ausnutzung eines Fehlers in den Cache-Mechanismen als den "furchterregendsten, heimlichsten und gefährlichsten Exploit" seit langer Zeit. Die beiden Sicherheits-Forscher Joanna Rutkowska und Loic Duflot werden ein Papier und den entsprechenden Code veröffentlichen, nicht aber ein fertiges Rootkit. Das wirklich Erschreckende an diesem Exploit ist laut Heary, dass er sich im System Management Mode-Bereich versteckt und damit Rechte erhält, die noch höher sind als die eines Betriebssystems, das SMM-Aufrufe nicht deaktivieren oder stoppen kann.
Da also das Betriebssystem den Bereich des SMM weder lesen noch kontrollieren kann und jeder dort ausgelöste Befehl Vorrang vor dem Betriebssystem hat, ist ein über diesen Exploit installiertes Rootkit bei einem laufenden und infizierten Rechner nicht mehr auffindbar. SMM ist in allen Intel-Prozessoren seit dem 80386 enthalten. Wie aus Dokumenten hervorgeht, wurde dieser Fehler bereits seit Ende 2005 von Intel-Angestellten diskutiert und die beiden Forscher haben Intel auch mehrmals darauf hingewiesen, zuletzt im Oktober 2008. Intel kenne den Fehler also seit Jahren, habe bisher aber keine Schritte zu dessen Behebung unternommen. Da der Fehler Experten aber bekannt ist, besteht eine hohe Wahrscheinlichkeit, dass er bald von Programmierern mit wenig legalen Absichten genutzt wird - wenn das nicht sogar schon der Fall ist. Durch die Veröffentlichung gerät Intel nun unter Druck, das Problem zu beheben, bevor es wirklich in großem Rahmen genutzt wird, ohne dass man es auf dem eigenen Rechner bemerken könnte.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.