Bleedingtooth: Aus Fehlern lernt Intel - nicht

Auch fast drei Jahre nach Meltdown versemmelt Intel immer noch einfachste Security-Arbeiten. Das ist einfach nur peinlich.

Ein IMHO von veröffentlicht am
Intel hat Probleme mit seinen Security-Prozessen.
Intel hat Probleme mit seinen Security-Prozessen. (Bild: Justin Sullivan/Getty Images)

Mit der Veröffentlichung der Bleedingtooth genannten Sicherheitslücken vergangene Woche hat Intel weder sich noch seinen Nutzern einen Gefallen getan - und zudem den Linux-Kernel-Entwicklern mal wieder einen Bärendienst erwiesen. Denn auch fast drei Jahre nach dem absoluten Security-Desaster rund um Meltdown scheint der Konzern immer noch nichts daraus gelernt zu haben und macht einfach weiter so wie vorher. Ganz so, als sei Security einfach nicht relevant.

Was ist passiert? Intel und Google haben in der vergangenen Woche vor Sicherheitslücken in der Bluetooth-Implementierung Bluez von Linux gewarnt. Die drei Lücken haben jeweils eine CVE-Nummer erhalten und Intel verweist auf Patches des Unternehmens, die die Lücken beheben sollen. Soweit scheint das noch normal.

Nur hat Intel vorher eben keinem der Beteiligten Bescheid gegeben. Und das, obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht, sondern diese dem Konzern sogar eine eigene verschlüsselte Infrastruktur für Sicherheitslücken erstellt hat, die sich das Unternehmen explizit selbst gewünscht hatte. Aus all diesen Diskussionen hat Intel aber offenbar kaum etwas gelernt.

Sicherheitslücken im Linux-Kernel sowie deren Patches werden üblicherweise vorher auf internen Mailinglisten diskutiert. Über die Liste der Linux-Distributionen erhalten auch deren Betreuerteams vorher Zugriff auf die Patches sowie dazugehörige Informationen. Zum Zeitpunkt der Veröffentlichung der Sicherheitslücken können die Updates dann von allen zum gleichen Zeitpunkt verteilt werden.

Chaos statt Koordinierung

Dieses auch als Coordinated Disclosure bezeichnete Prozedere ist ein über Jahrzehnte erprobtes Modell, das meist problemlos funktioniert und eigentlich auch von allen Beteiligten akzeptiert wird. Offenbar hat Intel das System aber immer noch nicht verstanden oder ist einfach nicht willens, Sicherheitslücken wirklich ernst genug zu nehmen.

Zwar hat das Unternehmen bereits vor rund zwei Monaten Patches für die Lücken erstellt, aber allem Anschein nach haben weder Intel noch der bei Intel angestellte Bluetooth-Maintainer diese Patches irgendwie sinnvoll weitergereicht. Dafür hagelt es von vielen Kernel-Entwicklern berechtigterweise teils harsche Kritik.

Denn für die restliche Community bedeutet so eine unkoordinierte Veröffentlichung zunächst einmal nur: Chaos und Hektik. Binnen weniger Tage müssen die Patches in unzählige verschiedene Zweige der stabilen und noch gepflegten Kernel-Versionen der Linux-Community und der Distributoren integriert und dann auch noch getestet werden.

Der Linux-Distributor Suse hat dabei unter anderem festgestellt, einen der Patches zufälligerweise schon aus einem anderen Zweig übernommen zu haben - ohne jedoch zu wissen, dass damit eine Sicherheitslücke geschlossen wurde und darauf entsprechend reagieren zu können. Noch mehr Durcheinander geht kaum.

Wieder keine Security-Arbeit

Der Google-Angestellte Matthew Garrett weist außerdem darauf hin, dass dies nicht das erste Mal ist, dass Intel eine Sicherheitslücke auf diese Art und Weise veröffentlicht. Selbst der sonst eher zurückhaltende und gemäßigt argumentierende Linux-Entwickler Greg Kroah-Hartman schreibt, dass sich das Verhalten von Intel inzwischen einfach nur noch "bösartig" anfühle. Immerhin ignoriere Intel die allein für das Unternehmen erstellte Infrastruktur, so Kroah-Hartman.

Das alles kann nicht mehr nur mit Versehen oder Dummheit erklärt werden. Intel hat seine Security-Prozesse offensichtlich nicht mehr im Griff und ändert daran auch nichts. Kundschaft, Entwicklungsteams und Nutzerschaft bleiben dabei auf der Strecke und im Zweifel angreifbar. Danke für nichts, Intel!

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


bionade24 22. Okt 2020

Die wird unter Linux aber dafür gleich Jahrelang beschissen funktionieren.

crash 22. Okt 2020

Wie Truster schon schrieb geht's hier nicht um ein Lücke in einem Treiber für Intel...

LordSiesta 22. Okt 2020

Das stammt aus dem Film "Wayne's World" und soll auf die Ironie im Satz davor hinweisen...

gadthrawn 22. Okt 2020

Wie gesagt.. aus meiner Erfahrung kann man denen Jahre vorher etwas sagen. Erst wenn...



Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
So funktioniert ChatGPT

Das mächtige Sprachmodell ChatGPT erzeugt Texte, die sich kaum von denen menschlicher Autoren unterscheiden lassen. Wir erklären die Technologie hinter dem Hype.
Ein Deep Dive von Helmut Linde

Künstliche Intelligenz: So funktioniert ChatGPT
Artikel
  1. Streamer: Rocket Beans muss in Kurzarbeit
    Streamer
    Rocket Beans muss in Kurzarbeit

    Der Gaming-Kanal Rocket Beans hat wirtschaftliche Schwierigkeiten. Mitarbeiter müssen in Kurzarbeit, einige Sendungen entfallen.

  2. i4: BMW lässt sich am Berg nicht updaten
    i4
    BMW lässt sich am Berg nicht updaten

    Die Besitzerin eines BMW i4 hat die Fehlermeldung entdeckt, ihr Parkplatz sei zu steil für ein Update der Bordsoftware.

  3. Volker Wissing: Schienengüterverbände sind gegen Autobahnausbau
    Volker Wissing
    Schienengüterverbände sind gegen Autobahnausbau

    Für den Güterverkehr sollte vermehrt auf die Bahn gesetzt werden und nicht auf mehr LKW. Für die gebe es eh nicht genug Fahrer, meinen Verbände.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Powercolor RX 7900 XTX 1.195€ • AMD Ryzen 7 5800X3D 329€ • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • Lenovo Tab P11 Plus 249€ • MindStar: Intel Core i7 13700K 429€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /