Vandaag heeft Intel bekend gemaakt dat er drie nieuwe ernstige kwetsbaarheden ontdekt zijn in zijn processoren. Het gaat om lekken in de veelgebruikte Core- en Xeon-lijnen. Updates zijn al beschikbaar en zullen in tegenstelling tot de Spectre en Meltdown-fixes geen significante invloed hebben op de prestaties van de chips.
Dat meldt Intel vandaag op basis van bericht dat het ontving van onder meer de KU Leuven en de University of Michigan. De lekken hebben een gezamenlijke naam gekregen: L1 Terminal Fault. Tegelijk stelt de KU Leuven dat er wel onderscheid bestaat in de lekken en heeft het ernstigste lek de naam Foreshadow gekregen.
Fout in Intel SGX
Sinds drie jaar beschermt Intel de meest kwetsbare onderdelen van een processor met de Intel Software Guard eXtensions (Intel SGX). De onderzoekers konden die beveiliging kraken door de manier waarop een processor zorgt dat hij snel blijft werken. Een processor begint gewoonlijk alvast aan taken die misschien later nodig zijn, en laadt daarbij soms informatie in.
Lees dit: Foreshadow: hoe speculatieve uitvoering Intel hoofdpijn blijft bezorgen
Als de gegevens niet nodig blijken, verwijdert de processor ze, maar dat blijkt niet goed te werken. Door daar gebruik van te maken, konden de onderzoekers op drie verschillende manieren de processoren binnendringen. Zo konden onder meer wachtwoorden van gebruikers bekeken worden, maar ook andere gevoelige informatie buitgemaakt.
Nauwelijks mindere prestaties
Intel weet al enkele maanden van de kwetsbaarheden en heeft dan ook genoeg tijd gehad om te werken aan fixes. Die verhelpen twee van de kwetsbaarheden voor consumenten, bedrijven moeten nog extra stappen ondernemen om ervoor te zorgen dat ze volledig veilig zijn. Microsoft, maar ook Oracle, heeft een nauwgezette omschrijving van de problemen en welke gevolgen ze hebben.
De fixes die Intel heeft uitgebracht, zullen enige invloed hebben op de snelheid waarmee de processoren werken. Veel is dat volgens Intel niet, waar dat bij de fixes voor Spectre en Meltdown wel het geval was. Misbruik is er volgens Intel overigens niet gemaakt van de drie kwetsbaarheden.