Bleedingtooth: Aus Fehlern lernt Intel - nicht

Auch fast drei Jahre nach Meltdown versemmelt Intel immer noch einfachste Security-Arbeiten. Das ist einfach nur peinlich.

Ein IMHO von veröffentlicht am
Intel hat Probleme mit seinen Security-Prozessen.
Intel hat Probleme mit seinen Security-Prozessen. (Bild: Justin Sullivan/Getty Images)

Mit der Veröffentlichung der Bleedingtooth genannten Sicherheitslücken vergangene Woche hat Intel weder sich noch seinen Nutzern einen Gefallen getan - und zudem den Linux-Kernel-Entwicklern mal wieder einen Bärendienst erwiesen. Denn auch fast drei Jahre nach dem absoluten Security-Desaster rund um Meltdown scheint der Konzern immer noch nichts daraus gelernt zu haben und macht einfach weiter so wie vorher. Ganz so, als sei Security einfach nicht relevant.

Stellenmarkt
  1. DevOps Engineer - Big Data (m/w/d)
    STRABAG AG, Köln, Stuttgart
  2. Head of Master Data Management (Produktdaten) (m/w/d)
    Einrichtungspartnerring VME GmbH & Co. KG, Bielefeld
Detailsuche

Was ist passiert? Intel und Google haben in der vergangenen Woche vor Sicherheitslücken in der Bluetooth-Implementierung Bluez von Linux gewarnt. Die drei Lücken haben jeweils eine CVE-Nummer erhalten und Intel verweist auf Patches des Unternehmens, die die Lücken beheben sollen. Soweit scheint das noch normal.

Nur hat Intel vorher eben keinem der Beteiligten Bescheid gegeben. Und das, obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht, sondern diese dem Konzern sogar eine eigene verschlüsselte Infrastruktur für Sicherheitslücken erstellt hat, die sich das Unternehmen explizit selbst gewünscht hatte. Aus all diesen Diskussionen hat Intel aber offenbar kaum etwas gelernt.

Sicherheitslücken im Linux-Kernel sowie deren Patches werden üblicherweise vorher auf internen Mailinglisten diskutiert. Über die Liste der Linux-Distributionen erhalten auch deren Betreuerteams vorher Zugriff auf die Patches sowie dazugehörige Informationen. Zum Zeitpunkt der Veröffentlichung der Sicherheitslücken können die Updates dann von allen zum gleichen Zeitpunkt verteilt werden.

Chaos statt Koordinierung

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  3. Data Engineering mit Apache Spark
    27.-28. September 2021, online
Weitere IT-Trainings

Dieses auch als Coordinated Disclosure bezeichnete Prozedere ist ein über Jahrzehnte erprobtes Modell, das meist problemlos funktioniert und eigentlich auch von allen Beteiligten akzeptiert wird. Offenbar hat Intel das System aber immer noch nicht verstanden oder ist einfach nicht willens, Sicherheitslücken wirklich ernst genug zu nehmen.

Zwar hat das Unternehmen bereits vor rund zwei Monaten Patches für die Lücken erstellt, aber allem Anschein nach haben weder Intel noch der bei Intel angestellte Bluetooth-Maintainer diese Patches irgendwie sinnvoll weitergereicht. Dafür hagelt es von vielen Kernel-Entwicklern berechtigterweise teils harsche Kritik.

Denn für die restliche Community bedeutet so eine unkoordinierte Veröffentlichung zunächst einmal nur: Chaos und Hektik. Binnen weniger Tage müssen die Patches in unzählige verschiedene Zweige der stabilen und noch gepflegten Kernel-Versionen der Linux-Community und der Distributoren integriert und dann auch noch getestet werden.

Der Linux-Distributor Suse hat dabei unter anderem festgestellt, einen der Patches zufälligerweise schon aus einem anderen Zweig übernommen zu haben - ohne jedoch zu wissen, dass damit eine Sicherheitslücke geschlossen wurde und darauf entsprechend reagieren zu können. Noch mehr Durcheinander geht kaum.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wieder keine Security-Arbeit

Der Google-Angestellte Matthew Garrett weist außerdem darauf hin, dass dies nicht das erste Mal ist, dass Intel eine Sicherheitslücke auf diese Art und Weise veröffentlicht. Selbst der sonst eher zurückhaltende und gemäßigt argumentierende Linux-Entwickler Greg Kroah-Hartman schreibt, dass sich das Verhalten von Intel inzwischen einfach nur noch "bösartig" anfühle. Immerhin ignoriere Intel die allein für das Unternehmen erstellte Infrastruktur, so Kroah-Hartman.

Das alles kann nicht mehr nur mit Versehen oder Dummheit erklärt werden. Intel hat seine Security-Prozesse offensichtlich nicht mehr im Griff und ändert daran auch nichts. Kundschaft, Entwicklungsteams und Nutzerschaft bleiben dabei auf der Strecke und im Zweifel angreifbar. Danke für nichts, Intel!

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neue Webcams im Test
Dell und Elgato wollen Razer ablösen

Viele Leute suchen nach guten Webcams. Die Dell Ultrasharp Webcam und die Elgato Facecam sollen helfen. Sie müssen sich aber gegen Razer behaupten.
Ein Test von Oliver Nickel

Neue Webcams im Test: Dell und Elgato wollen Razer ablösen
Artikel
  1. Microsoft Office: BGP-Fehler macht zahlreichen Telekom-Kunden Probleme
    Microsoft Office  
    BGP-Fehler macht zahlreichen Telekom-Kunden Probleme

    Zahlreiche Telekom-Kunden hatten am Morgen Probleme, sich etwa mit Microsofts Online-Diensten zu verbinden. Grund ist wohl ein BGP-Fehler.

  2. Bitcoin, Ethereum & Co.: Ausgerechnet der Wolf of Wallstreet fordert Regulierung
    Bitcoin, Ethereum & Co.
    Ausgerechnet der Wolf of Wallstreet fordert Regulierung

    Jordan Belfort ist der Meinung, dass eine Regulierung von Kryptowährungen wie Bitcoin gut wäre. Seine Einschätzung basiert auf Erfahrung.

  3. China: Apple-Leaker soll Quellen verraten oder die Konsequenzen tragen
    China
    Apple-Leaker soll Quellen verraten oder die Konsequenzen tragen

    Apple geht gegen einen chinesischen Leaker vor und verlangt die Herausgabe seiner Quellen. Andernfalls werde die Polizei eingeschaltet.

bionade24 22. Okt 2020

Die wird unter Linux aber dafür gleich Jahrelang beschissen funktionieren.

crash 22. Okt 2020

Wie Truster schon schrieb geht's hier nicht um ein Lücke in einem Treiber für Intel...

LordSiesta 22. Okt 2020

Das stammt aus dem Film "Wayne's World" und soll auf die Ironie im Satz davor hinweisen...

gadthrawn 22. Okt 2020

Wie gesagt.. aus meiner Erfahrung kann man denen Jahre vorher etwas sagen. Erst wenn...

Salzbretzel 21. Okt 2020

Intel macht die Dinge nicht perfekt - sei gegeben. Aber sie machen etwas. Gerade wenn ich...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 jetzt bestellbar • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen • Philips 65" Ambilight 679€ • Bosch Professional günstiger [Werbung]
    •  /