Bleedingtooth: Aus Fehlern lernt Intel - nicht

Auch fast drei Jahre nach Meltdown versemmelt Intel immer noch einfachste Security-Arbeiten. Das ist einfach nur peinlich.

Ein IMHO von veröffentlicht am
Intel hat Probleme mit seinen Security-Prozessen.
Intel hat Probleme mit seinen Security-Prozessen. (Bild: Justin Sullivan/Getty Images)

Mit der Veröffentlichung der Bleedingtooth genannten Sicherheitslücken vergangene Woche hat Intel weder sich noch seinen Nutzern einen Gefallen getan - und zudem den Linux-Kernel-Entwicklern mal wieder einen Bärendienst erwiesen. Denn auch fast drei Jahre nach dem absoluten Security-Desaster rund um Meltdown scheint der Konzern immer noch nichts daraus gelernt zu haben und macht einfach weiter so wie vorher. Ganz so, als sei Security einfach nicht relevant.

Stellenmarkt
  1. Learning Experience Consultant (w/d/m)
    Haufe Group, Freiburg im Breisgau, deutschlandweit (Home-Office)
  2. Projektmanager (m/w/d) für die Gruppe Digitale Transformation
    üstra Hannoversche Verkehrsbetriebe AG, Hannover
Detailsuche

Was ist passiert? Intel und Google haben in der vergangenen Woche vor Sicherheitslücken in der Bluetooth-Implementierung Bluez von Linux gewarnt. Die drei Lücken haben jeweils eine CVE-Nummer erhalten und Intel verweist auf Patches des Unternehmens, die die Lücken beheben sollen. Soweit scheint das noch normal.

Nur hat Intel vorher eben keinem der Beteiligten Bescheid gegeben. Und das, obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht, sondern diese dem Konzern sogar eine eigene verschlüsselte Infrastruktur für Sicherheitslücken erstellt hat, die sich das Unternehmen explizit selbst gewünscht hatte. Aus all diesen Diskussionen hat Intel aber offenbar kaum etwas gelernt.

Sicherheitslücken im Linux-Kernel sowie deren Patches werden üblicherweise vorher auf internen Mailinglisten diskutiert. Über die Liste der Linux-Distributionen erhalten auch deren Betreuerteams vorher Zugriff auf die Patches sowie dazugehörige Informationen. Zum Zeitpunkt der Veröffentlichung der Sicherheitslücken können die Updates dann von allen zum gleichen Zeitpunkt verteilt werden.

Chaos statt Koordinierung

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Dieses auch als Coordinated Disclosure bezeichnete Prozedere ist ein über Jahrzehnte erprobtes Modell, das meist problemlos funktioniert und eigentlich auch von allen Beteiligten akzeptiert wird. Offenbar hat Intel das System aber immer noch nicht verstanden oder ist einfach nicht willens, Sicherheitslücken wirklich ernst genug zu nehmen.

Zwar hat das Unternehmen bereits vor rund zwei Monaten Patches für die Lücken erstellt, aber allem Anschein nach haben weder Intel noch der bei Intel angestellte Bluetooth-Maintainer diese Patches irgendwie sinnvoll weitergereicht. Dafür hagelt es von vielen Kernel-Entwicklern berechtigterweise teils harsche Kritik.

Denn für die restliche Community bedeutet so eine unkoordinierte Veröffentlichung zunächst einmal nur: Chaos und Hektik. Binnen weniger Tage müssen die Patches in unzählige verschiedene Zweige der stabilen und noch gepflegten Kernel-Versionen der Linux-Community und der Distributoren integriert und dann auch noch getestet werden.

Der Linux-Distributor Suse hat dabei unter anderem festgestellt, einen der Patches zufälligerweise schon aus einem anderen Zweig übernommen zu haben - ohne jedoch zu wissen, dass damit eine Sicherheitslücke geschlossen wurde und darauf entsprechend reagieren zu können. Noch mehr Durcheinander geht kaum.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wieder keine Security-Arbeit

Der Google-Angestellte Matthew Garrett weist außerdem darauf hin, dass dies nicht das erste Mal ist, dass Intel eine Sicherheitslücke auf diese Art und Weise veröffentlicht. Selbst der sonst eher zurückhaltende und gemäßigt argumentierende Linux-Entwickler Greg Kroah-Hartman schreibt, dass sich das Verhalten von Intel inzwischen einfach nur noch "bösartig" anfühle. Immerhin ignoriere Intel die allein für das Unternehmen erstellte Infrastruktur, so Kroah-Hartman.

Das alles kann nicht mehr nur mit Versehen oder Dummheit erklärt werden. Intel hat seine Security-Prozesse offensichtlich nicht mehr im Griff und ändert daran auch nichts. Kundschaft, Entwicklungsteams und Nutzerschaft bleiben dabei auf der Strecke und im Zweifel angreifbar. Danke für nichts, Intel!

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


bionade24 22. Okt 2020

Die wird unter Linux aber dafür gleich Jahrelang beschissen funktionieren.

crash 22. Okt 2020

Wie Truster schon schrieb geht's hier nicht um ein Lücke in einem Treiber für Intel...

LordSiesta 22. Okt 2020

Das stammt aus dem Film "Wayne's World" und soll auf die Ironie im Satz davor hinweisen...

gadthrawn 22. Okt 2020

Wie gesagt.. aus meiner Erfahrung kann man denen Jahre vorher etwas sagen. Erst wenn...

Salzbretzel 21. Okt 2020

Intel macht die Dinge nicht perfekt - sei gegeben. Aber sie machen etwas. Gerade wenn ich...



Aktuell auf der Startseite von Golem.de
Open Source
"Antworten Sie innerhalb von 24 Stunden"

Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Open Source: Antworten Sie innerhalb von 24 Stunden
Artikel
  1. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

  2. Onlinekurse zu 3D-Visualisierung und Spieleprogrammierung
     
    Onlinekurse zu 3D-Visualisierung und Spieleprogrammierung

    3D-Visualiserung hat den Bereich des Game Developments längst hinter sich gelassen. Die Golem Akademie bietet sechs virtuelle Workshops zum Themenfeld.
    Sponsored Post von Golem Akademie

  3. Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
    Bundesservice Telekommunikation
    Schlecht getarnte Tarnorganisation praktisch enttarnt

    Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
    Von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Palit RTX 3080 12GB 1.548,96€ • Acer Curved Gaming-Monitor 27" 259€ • Corsair 16GB DDR4-4000 111,21€ • MindStar (u.a. 8GB DDR5-4800 89€) • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ • 4 Blu-rays für 22€ [Werbung]
    •  /