Intel-Firmware-Lücke dürfte noch lange nicht gepatcht sein

In Intels Management Engine (ME), Intels Server Platform Services (SPS) und der Trusted Execution Engine (TXE) klaffen grosse, kritische Lücken, das wurde soeben bekannt.
 
Betroffen sind Dutzende von Modellen von sehr vielen Herstellern. Entsprechend komplex gestaltet sich das konkrete Patchen. Intel hat inzwischen Patches bereitgestellt. Und die Hersteller liefern Patches und Informationen – von Acer über HPE Server bis Panasonic.
 
Aber der Teufel steckt im Detail. Beziehungsweise im Modell. Ein Beispiel dafür ist Lenovo. Der Konzern veröffentlicht eine ausführliche Liste betroffener und nicht betroffener Modelle. Für diverse betroffene Geräte sind Patch-Daten bekannt, aber für sieben fehlen die Daten noch.
 
Bei Acer ist die Liste der betroffenen Modelle noch viel länger. Daten für die Patches sind aber völlig offen. "TBD" (To be defined) heisst es lakonisch.
 
Laut 'Ars Technica' stellen HP und Dell Patches bereit, bis jetzt aber konnten wir dies auf den Websites nicht finden.
 
'The Register' hat eine ausführliche Liste der aktuellen Faktenlage bei wichtigen Herstellern. Sie zeigt eines: Es wird wohl Wochen oder Monate dauern, bis alle Patches aller Hersteller für alle Modelle in allen Ländern verfügbar sind.
 
Nicht mal Intel selbst schafft dies für alle Produkte rasch: Für Diverse NUC-, ComputeStick- und ComputeCard-Produkte steht aktuell vage "Dezember 2017".
 
Die Firmen stehen unter Druck: 'Reuters' berichtet', dass die US-Regierung die Hersteller dazu drängt, vorwärts zu machen. Der Grund laut einem von 'Reuters' zitierten Security-Experten: Betroffen sei im Prinzip jeder Business Computer und jeder Server mit einem Intel-Prozessor, der in den letzten beiden Jahren gekauft wurde. Noch ist aber unbekannt, wie leicht oder schwer die Lücke auszunützen wäre. (mag)