Eine bisher unbeachtetes Problemfeld an Sicherheitslücken möchte der Reverse-Engineering und Sicherheitsspezialist Kris Kaspersky auf der Sicherheitskonferenz "Hack in the Box", welche vom 27. bis 30. Oktober in Kuala Lumpur (Malaysia) stattfinden wird, demonstrieren. Als Angriffspunkt sind laut seiner Ankündigung dabei die CPUs der Rechnersysteme selbst nutzbar.

Kaspersky nutzt dabei die derzeit dokumentierten 128 Bugs in Core2-CPUs und über 230 Bugs der Itanium-CPUs als Ansatzpunkt. Auf der Konferenz möchte er praktisch demonstrieren, wie man mittels Java-Code oder TCP/IP-Angriffen die Systeme komprimittieren kann, unabhängig davon welches Betriebssystem und welche Patches installiert seien. Die Folgen sollen von einfachen Abstürzen bis hin zur kompletten Übernahme des Systems reichen.

Für Programmierer von Schadcode wäre ein solcher Ansatz ein extrem großer Anreiz, schließlich sind diese an Methoden interessiert, wie sich möglichst viele verschiedene Systeme angreifen und dabei die Schutzmechanismen der Betriebssysteme umgehen lassen. Ebenso wird die Industrie von Netzsicherheitssoftware bzw. Appliances aufhorchen, da sich hier scheinbar deren Betätigungsfeld etwas erweitert. Zwar hat Intel für einige CPU-Bugs Workarounds an die BIOS-Hersteller ausgegeben, doch besteht für den Anwender das Problem der völligen Intransparenz: man weiss nicht, gegen welche Bugs das eigene System durch das aktuelle BIOS geschützt ist.

Angaben zu AMD-, IBM-, VIA- oder anderen Prozessoren machte Kaspersky nicht. Dies sollte jedoch nicht zur voreiligen Annahme verleiten, dass in solchen keine Bugs vorhanden sind, die nicht auch auf derartige Weise ausgenutzt werden können. Schliesslich steigt die Fehleranfälligkeit eines Prozessors mit dessen Komplexität. Nebenbei kündigt Kaspersky ebenfalls an, aufzuzeigen, wie CPU-Bugs zu Beschädigungen von Festplatten beigetragen haben. Wir sind gespannt.
[ri]