• IT-Karriere:
  • Services:

Bleedingtooth: Aus Fehlern lernt Intel - nicht

Auch fast drei Jahre nach Meltdown versemmelt Intel immer noch einfachste Security-Arbeiten. Das ist einfach nur peinlich.

Ein IMHO von veröffentlicht am
Intel hat Probleme mit seinen Security-Prozessen.
Intel hat Probleme mit seinen Security-Prozessen. (Bild: Justin Sullivan/Getty Images)

Mit der Veröffentlichung der Bleedingtooth genannten Sicherheitslücken vergangene Woche hat Intel weder sich noch seinen Nutzern einen Gefallen getan - und zudem den Linux-Kernel-Entwicklern mal wieder einen Bärendienst erwiesen. Denn auch fast drei Jahre nach dem absoluten Security-Desaster rund um Meltdown scheint der Konzern immer noch nichts daraus gelernt zu haben und macht einfach weiter so wie vorher. Ganz so, als sei Security einfach nicht relevant.

Stellenmarkt
  1. HerkulesGroup Services GmbH, Meuselwitz, Siegen
  2. aluplast GmbH, Karlsruhe

Was ist passiert? Intel und Google haben in der vergangenen Woche vor Sicherheitslücken in der Bluetooth-Implementierung Bluez von Linux gewarnt. Die drei Lücken haben jeweils eine CVE-Nummer erhalten und Intel verweist auf Patches des Unternehmens, die die Lücken beheben sollen. Soweit scheint das noch normal.

Nur hat Intel vorher eben keinem der Beteiligten Bescheid gegeben. Und das, obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht, sondern diese dem Konzern sogar eine eigene verschlüsselte Infrastruktur für Sicherheitslücken erstellt hat, die sich das Unternehmen explizit selbst gewünscht hatte. Aus all diesen Diskussionen hat Intel aber offenbar kaum etwas gelernt.

Sicherheitslücken im Linux-Kernel sowie deren Patches werden üblicherweise vorher auf internen Mailinglisten diskutiert. Über die Liste der Linux-Distributionen erhalten auch deren Betreuerteams vorher Zugriff auf die Patches sowie dazugehörige Informationen. Zum Zeitpunkt der Veröffentlichung der Sicherheitslücken können die Updates dann von allen zum gleichen Zeitpunkt verteilt werden.

Chaos statt Koordinierung

Dieses auch als Coordinated Disclosure bezeichnete Prozedere ist ein über Jahrzehnte erprobtes Modell, das meist problemlos funktioniert und eigentlich auch von allen Beteiligten akzeptiert wird. Offenbar hat Intel das System aber immer noch nicht verstanden oder ist einfach nicht willens, Sicherheitslücken wirklich ernst genug zu nehmen.

Zwar hat das Unternehmen bereits vor rund zwei Monaten Patches für die Lücken erstellt, aber allem Anschein nach haben weder Intel noch der bei Intel angestellte Bluetooth-Maintainer diese Patches irgendwie sinnvoll weitergereicht. Dafür hagelt es von vielen Kernel-Entwicklern berechtigterweise teils harsche Kritik.

Denn für die restliche Community bedeutet so eine unkoordinierte Veröffentlichung zunächst einmal nur: Chaos und Hektik. Binnen weniger Tage müssen die Patches in unzählige verschiedene Zweige der stabilen und noch gepflegten Kernel-Versionen der Linux-Community und der Distributoren integriert und dann auch noch getestet werden.

Der Linux-Distributor Suse hat dabei unter anderem festgestellt, einen der Patches zufälligerweise schon aus einem anderen Zweig übernommen zu haben - ohne jedoch zu wissen, dass damit eine Sicherheitslücke geschlossen wurde und darauf entsprechend reagieren zu können. Noch mehr Durcheinander geht kaum.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wieder keine Security-Arbeit

Der Google-Angestellte Matthew Garrett weist außerdem darauf hin, dass dies nicht das erste Mal ist, dass Intel eine Sicherheitslücke auf diese Art und Weise veröffentlicht. Selbst der sonst eher zurückhaltende und gemäßigt argumentierende Linux-Entwickler Greg Kroah-Hartman schreibt, dass sich das Verhalten von Intel inzwischen einfach nur noch "bösartig" anfühle. Immerhin ignoriere Intel die allein für das Unternehmen erstellte Infrastruktur, so Kroah-Hartman.

Das alles kann nicht mehr nur mit Versehen oder Dummheit erklärt werden. Intel hat seine Security-Prozesse offensichtlich nicht mehr im Griff und ändert daran auch nichts. Kundschaft, Entwicklungsteams und Nutzerschaft bleiben dabei auf der Strecke und im Zweifel angreifbar. Danke für nichts, Intel!

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 68,23€ (Release 03.12.)
  2. 8,99€
  3. 52,79€
  4. 35,99€

bionade24 22. Okt 2020 / Themenstart

Die wird unter Linux aber dafür gleich Jahrelang beschissen funktionieren.

crash 22. Okt 2020 / Themenstart

Wie Truster schon schrieb geht's hier nicht um ein Lücke in einem Treiber für Intel...

LordSiesta 22. Okt 2020 / Themenstart

Das stammt aus dem Film "Wayne's World" und soll auf die Ironie im Satz davor hinweisen...

gadthrawn 22. Okt 2020 / Themenstart

Wie gesagt.. aus meiner Erfahrung kann man denen Jahre vorher etwas sagen. Erst wenn...

Salzbretzel 21. Okt 2020 / Themenstart

Intel macht die Dinge nicht perfekt - sei gegeben. Aber sie machen etwas. Gerade wenn ich...

Kommentieren


Folgen Sie uns
       


Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

    •  /