Die x86 Ecosystem Advisory Group (EAG) von Intel und AMD feiert ihr einjähriges Bestehen. Künftige Gemeinsamkeiten wie AVX10 oder ACE rücken näher, sollen bald herstellerübergreifend im Einsatz und so für jedermann nutzbar sein. Auch FRED (Flexible Return and Event Delivery) und Memory Safety spielt eine Rolle.

Ein Jahr AMD-Intel-Kooperation für x86

Seit der Gründung vor einem Jahr im Rahmen des OCP Summits 2024 hat sich so Einiges getan. Wie es Jeff McVeigh, Corporate Vice President & General Manager, Custom Products und Ecosystem bei Intel Corporation, sowie Robert Hormuth,
Corporate Vice President, Architecture and Strategy, Data Center Solutions Group bei AMD, bereits vor einem Monat in einem gemeinsamen Statement beschrieben, gab es durch die regelmäßige Zusammenarbeit in Teams dabei bereits so einige „Aha“-Momente.

Zum einen ist das eine gemeinsame und identische ISA-Basis. Diese soll auch in Zukunft die Softwareentwicklung erleichtern, die über alle Plattformen hin identisch ist. Hier kommen direkt die zukünftigen Lösungen AVX10 und ACE (Advanced Matrix Extensions for Matrix Multiplication) ins Spiel. Helfen soll dabei wiederum auch FRED (Flexible Return and Event Delivery), welches „a modernized interrupt model designed to reduce latency and improve system software reliability“ darstellt.

Erste Früchte könnte die Vereinheitlichung der ISA bereits bei Intel Nova Lake 2026 spielen: Die E- und P-Cores werden laut Gerüchten endlich wieder einen einheitlichen „großen“ Befehlssatz unterstützen, AVX10.2 in dem Fall. Zuletzt mussten die P-Cores im Consumer-Umfeld um AVX-512 kastriert werden, da die E-Cores nur AVX2 unterstützen.

Ein zweites wichtiges Thema ist der Umgang mit Sicherheitslücken und Problemen beim Speicher. Aus dem bisherigen Hinterherlaufen und dem schlichten Debugging bei Problemen soll eine proaktive Lösung folgen: ChkTag.

Intel and
AMD are working together, along with their ecosystem partners in the EAG, to address the
need for memory safety. They are creating a unified specification for a universal x86
memory tagging instruction set architecture, code named ChkTag (pronounced “Check
Tag”). This will help ensure that x86 continues to meet the evolving needs of the
ecosystem.

ChkTag is a set of new and enhanced x86 instructions to detect memory safety violations,
such as buffer overflows and misuses of freed memory (use-after-free). ChkTag is designed
to be suitable for hardening applications, operating system kernels, hypervisors for
virtualization, and UEFI firmware. ChkTag places control in the software developers’ hands
to balance their security needs with operational elements that often become prominent
when deploying code.

ComputerBase hat Informationen zu diesem Artikel von Intel unter NDA erhalten. Die einzige Vorgabe war der frühestmögliche Veröffentlichungszeitpunkt.

Apple erhöht die Prämien des hauseigenen Belohnungsprogramms für das Auffinden von Sicherheitslücken deutlich. Seit Start 2020 wurden über 35 Millionen Dollar an mehr als 800 Forschende vergeben, teils mit Einzelbeträgen von bis zu 500.000 Dollar. Jetzt kündigt Apple das nächste Kapitel an.

Neues System ab November

Es besteht in noch höheren Prämien, erweiterten Kategorien und einem neuen „Target Flags”-System, das die Ausnutzbarkeit von Fehlern objektiv belegen soll und somit eine beschleunigte Auszahlung der Prämien ermöglicht. Die Änderungen treten im November 2025 in Kraft, eine vollständige Liste von Kategorien, Belohnungen und Boni wird dann veröffentlicht.

Das Belohnungsprogramm gilt für alle von Apples Betriebssystemen: iOS, iPadOS, macOS, visionOS, watchOS und tvOS.

Die bisher lancierten Änderungen betreffen folgende Bereiche:

Neue Höchstpreise

Sogenannte Exploit-Ketten, die ähnlich wie Spionageangriffe tief in Systeme eindringen (können), werden zukünftig mit bis zu 2 Millionen US-Dollar vergütet, mit Boni (z. B. Lockdown Mode-Umgehungen und Fehler in Beta-Software) potenziert sich dies auf über 5 Millionen US-Dollar. Auch in anderen Bereichen erhöhen sich die Beträge teils deutlich, für einen unautorisierten Zugriff auf die iCloud beispielsweise sogar auf 1 Million US-Dollar. Da es auf macOS möglich ist, Software aus verschiedenen Quellen auszuführen, ist Apples „Gatekeeper“ die vorderste Verteidigungslinie bei der Abwehr von Schadsoftware. Für eine komplette Umgehung des Gatekeepers werden daher 100.000 US-Dollar geboten. Apple betont, dass so ein Angriff bisher noch nie gezeigt werden konnte, daher nun die hohen Belohnungen.

Apple nennt noch ein paar weitere Beispiele für erhöhte Belohnungen ab November. Für einen „Zero-Click-Chain-Exploit“, also eine Schwachstelle, die keinerlei Nutzerinteraktion erfordert, werden zukünftig zwei statt einer Million US-Dollar gezahlt. Für einen „One-Click-Chain-Exploit“ (ein Klick durch den Benutzer) sind es ab November eine Million, statt bisher 250.000 US-Dollar.

Mehr Kategorien

Genauere Informationen erfolgen erst zum Start des neuen Programms im November, allgemein geht es aber darum, mehr Angriffsarten im Belohnungsprogramm abzudecken. Apple hat aber schon ein weiteres Beispiel genannt: Für das Auffinden eines „Wireless-Proximity-Exploits“, also einer Schwachstelle, die drahtlos (Wi-Fi, NFC, und so weiter) ausgenutzt werden kann, werden eine Million US-Dollar geboten.

„Target Flags“-System

Neben den Erhöhungen und neuen Kategorien soll es zukünftig auch um die schnellere Auszahlung von Belohnungen gehen, dies soll das „Target-Flag“-System sicherstellen. Hintergedanke ist, dass Forschende ihre Kenntnisse zu Schwachstellen objektiv belegen können und dadurch eine rasche Auszahlung der Belohnungen sichergestellt ist, noch bevor es ein Patch für das Problem gibt, da Apple an den „Flags“ (englisch für „Flaggen“) objektiv erkennen kann, dass eine Schwachstelle vorliegt. Wie das mit den „Target-Flags“ genau funktioniert bleibt zur Stunde offen, laut Apple sind die Flaggen aber in den eigenen Betriebssystemen eingebaut. Die Namensgebung des System beruht auf dem Spielprinzip „Capture-the-Flag“. Wer die Flagge schnappt, bekommt die Belohnung.

Belohnung auch für theoretische Schwachstellen

Apple betont, dass die Top-Belohnungen nur für Schwachstellen gelten, die die aktuell verfügbare Software und Hardware betreffen. Neueste Geräte und Betriebssystemversionen mit fortschrittlichen Sicherheitsfunktionen, wie beim iPhone 17, erhöhen den Wert zusätzlich. Abseits davon werden jährlich auch zahlreiche Berichte über Schwachstellen abseits vom Belohnungsprogramm eingereicht, die meist nur geringe Auswirkungen auf die reale Nutzersicherheit haben. Für solche Berichte erhalten Melder künftig 1.000 US-Dollar als Belohnung. Diese zusätzlichen Belohnungen wurden bereits zeitweise getestet und werden nun dauerhaft ins Belohnungsprogramm aufgenommen.

Kostenlose iPhones für Schutzbedürftige

Apple hebt das iPhone 17 in seiner Meldung mehrfach hervor, was daran liegt, dass es von Apple als besonders sicher eingestuft wird. Grund dafür ist die sogenannte „Memory Integrity Enforcement“-Funktion. Diese sorgt dafür, dass kein ungeprüfter Code in sicherheitsrelevanten Bereichen des Speichers ausgeführt werden beziehungsweise Daten verändert werden können.

Apple hatte bereits im Jahr 2022 ein Programm aufgelegt, mit dem damals iPhones im Wert von 10 Millionen US-Dollar an Organisationen verteilt wurde, die sich zivilgesellschaftlich engagieren. Da in solchen Organisationen oft ein hohes Maß an Datenschutz und Datensicherheit besteht, vor allem in nicht demokratischen Ländern, wird das Programm jetzt mit iPhones der aktuellen Generation neu aufgelegt. Die Organisationen können die Smartphones dann an besonders betroffene Mitglieder weiterreichen. Es liegen keine weiteren Informationen zum diesjährigen Umfang des Programms vor.

Für 2026 hat Apple außerdem verkündet, dass es ein weiteres Programm gibt, das Personen offen steht, die über nachweisliche Kompetenz in der Sicherheitsforschung verfügen. Interessenten können sich bis zum 31. Oktober 2025 bewerben. Meldungen, die über das „Security Research Device Program“ genannte Projekt gemeldet werden, erhalten bevorzugte Bearbeitung im oben genannten Belohnungsprogramm.