Intel behebt Lücke in Software zur Treiberaktualisierung
Die Sicherheitslücke entsteht dadurch, dass die Versionen 2.0 bis 2.3 des Intel Driver Update Utility eine unsichere Verbindung zur Kommunikation mit Intels Servern herstellen. Ein Angreifer könnte sich daher dort per Man-in-the-middle-Angriff einklinken. So ließe sich Malware auf das angegriffene System zu schleusen.
Mit der nun verfügbaren Version 2.4 seiner Software Driver Update Utility, die hierzulande Intel Treiberaktualisierungs-Software heißt, hat Intel ein gravierendes Sicherheitsproblem behoben. Angreifer könnten in den Versionen 2.0, 2.1, 2.2 und 2.3. über einen Man-in-the-middle-Angriff unbefugt Code auf einem System einschleusen und ausführen.
Das Intel Driver Update Utility soll Nutzern helfen, auf dem System vorhandene Intel-Treiber stets auf dem neuesten Stand zu halten. Es überprüft dazu regelmäßig, ob für die installierten Versionen Updates vorliegen. Gegebenenfalls informiert es den Nutzer darüber und bietet Download sowie Installation an. Allerdings nutzen die Versionen 2.0 bis 2.3 der Treiberaktualisierungs-Software eine unverschlüsselte Verbindung, um mit Intels Servern zu kommunizieren.
Angreifer konnten dadurch den Datenverkehr theoretisch aus der Ferne einsehen und manipulieren, um Malware oder anderen Schadcode auf das System zu laden. Die aktualisierte Version 2.4 des Driver Update Utility verwendet nun eine sichere SSL-Verbindung zur Kommunikation mit Intels Servern.
Entdeckt hatte die Schwachstelle (CVE-2016-1493) ein Mitarbeiter von Core Security. Wie das Unternehmen erklärt, informierte es Intel am 12. November 2015 darüber. Als es keine Antwort erhielt, schickte es 14 Tage später eine weitere Mitteilung, die ebenfalls unbeantwortet geblieben sei. Erst nachdem es sich am 14. Dezember direkt an den für das Update Utility zuständigen Produktmanager wandte, wurde Intel aktiv und forderte weitere Informationen zu dem Leck an. Anschließend einigten sich beide Parteien darauf, die Lücke bis zur Veröffentlichung eines Patches geheim zu halten.
Wieviele Anwender betroffen sind, ist unklar. In einer eigenen Sicherheitsmeldung rät Intel allen Nutzern der unsicheren Varianten des Driver Update Utility dringend dazu, die fehlerbereinigte Version schnellstmöglich zu installieren. Sie steht auf der Hersteller-Website zum kostenlosen Download bereit.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de