Utettet sårbarhet i Xeon-prosessoren

Verken Linux eller Windows har tettet en lenge kjent sårbarhet i Intels Xeon-prosessor.

13. mai offentliggjorde Colin Percival, en 23 år gammel kanadisk doktorgradsstudent, sine funn rundt en sårbarhet i Intels implementering av «hyperthreading» i sine Pentium 4, Pentium 4 Mobile, Pentium Extreme Edition og Xeon-prosessorer. Hyperthreading er en teknologi som lar prosessoren presentere seg som to prosessorer overfor systemprogramvaren, og kjøre to oppgaver eller tråder samtidig. Egenskapen bidrar til en vesentlig bedring av ytelsen.

Percival oppdaget feilen i oktober i fjor og brukte noen måneder på å undersøke den nærmere og skrive kode som viste hvordan ondsinnede elementer kunne utnytte sårbarheten. Fra 17. februar til 18. mars underrettet han Intel og andre leverandører. Da han offentliggjorde sine funn, først på en sikkerhetskonferanse, deretter på sitt nettsted – se Hyper-Threading Considered Harmful – hadde det altså gått to måneder siden de viktigste berørte partene var blitt informert.

Percival mener sårbarheten ikke spiller særlig rolle på PC-er, men at den på Xeon åpner for at brukere kan stjele hverandres passord og andre data.

Intel mener sårbarheten ikke er så alvorlig som Percival vil ha det til. De mener risikoen er svært lav for at den skal kunne utnyttes i praksis, og at det er langt enklere metoder som hackere kan og vil prøve. Percival mener Intel undervurderer faren.

Verken Microsoft, Novell eller Red Hat har gitt tilbakemeldinger eller kunngjort fikser, i motsetning til FreeBSD og Ubuntu Linux.

    Les også:

Til toppen