SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Разработчики Intel залатали Plundervolt и еще 15 уязвимостей

12 декабря 2019 г., четверг, 14:35

Производитель процессоров обновил микрокод — теперь вендоры должны включить его в обновления BIOS.

Компания Intel выпустила 11 рекомендаций по безопасности, относящихся к 16 уязвимостям в ее продуктах. Вендор пропатчил семь ошибок с высоким уровнем опасности, а также ряд менее серьезных недостатков.

Эксплуатация багов могла привести к отказу в обслуживании, несанкционированному раскрытию информации и эскалации привилегий. Специалисты считают, что злоумышленники не успели взять на вооружение какую-либо из выявленных уязвимостей.

Наибольшую угрозу представляет ошибка CVE-2019-0159, связанная с багом в программе Linux Administrative Tools for Intel Network Adapters. Как следует из бюллетеня производителя, злоумышленник с локальным доступом, используя недостаточную защиту памяти в системном ПО сетевых карт, может повысить свои привилегии на устройстве. Недостаток получил 8,2 балла по шкале CVSS и исправлен в релизе прошивки 24.3.

Компания Intel выпустила исправление для Plundervolt

В декабрьский комплект патчей также включены заплатки для уязвимости Plundervolt. Баг в системе Software Guard Extensions (SGX) позволяет манипулировать напряжением питания процессора, что может привести к раскрытию информации и повышению привилегий. Недостаток зарегистрирован как CVE-2019-11157 и оценен в 7,9 балла CVSS. Ошибка затрагивает следующие чипы Intel:

  • Семейство Core 6, 7, 8, 9 и 10 поколения.
  • Xeon Processor E3 v5 и
  • Xeon Processor E-2100 и E-2200.

Вендор выпустил обновление микрокода для своих продуктов, теперь производителям компьютеров предстоит включить заплатку в состав BIOS. В I квартале следующего года инженеры Intel планируют также перевыпустить ключи безопасности, ставшие причиной уязвимости.

Пять заплаток касаются устройств на платформе NUC. Баги в прошивке, получившие от 7,5 до 7,8 балла CVSS, позволяют киберпреступнику с локальным доступом получить расширенный набор прав в системе. Эксплуатация уязвимостей связана с некорректной проверкой входных данных, целочисленным переполнением и возможностью записи за пределами выделенного диапазона. Проблемы выявлены в ПО для 19 моделей компьютеров, каждый продукт получил обновление с патчем.

Менее опасные баги исправлены в мобильной системе Intel DPTF (Dynamic Platform and Thermal Framework), драйвере сетевого адаптера Ethernet I218, одном из компонентов центра управления и настройки Intel SCS, а также других продуктах.

Разработчики Intel выпускают обновления безопасности каждый второй вторник месяца. Предыдущий, ноябрьский комплект патчей содержал исправления для 77 уязвимостей, включая заплатку для бага ZombieLoad v2. Ошибка, которая затрагивает все процессоры вендора, выпущенные с 2013 года, может привести к утечке данных.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.070
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.