Intel
Корпорация Intel активно занимается поиском уязвимостей в основных аппаратных компонентах. Этот месяц явно вызывает беспокойство, поскольку производитель чипов утверждает, что обнаружил более 70 ошибок, недостатков и лазеек в безопасности в нескольких продуктах и стандартах. Между прочим, большинство ошибок было обнаружено Intel в ходе «внутреннего тестирования», а некоторые были обнаружены сторонними партнерами и агентствами.
Ежемесячный бюллетень Intel Security Advisory - это высоко ценимый репозиторий, в котором ведется хроника обновлений безопасности, сообщения об ошибках, новые исследования в области безопасности и мероприятия по взаимодействию с сообществом исследователей безопасности. Рекомендации по безопасности в этом месяце важны просто из-за большого количества уязвимостей, которые, по утверждениям Intel, были обнаружены в регулярно используемых компьютерных и сетевых продуктах. Излишне добавлять, что основная часть рекомендаций в этом месяце касается проблем, обнаруженных внутри Intel. Они являются частью процесса обновления платформы Intel (IPU). Сообщается, что Intel работает примерно с 300 организациями, чтобы подготовить и координировать выпуск этих обновлений.
https://www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4
Intel раскрыла 77 уязвимостей в системе безопасности, но ни одна из них еще не использовалась в реальных условиях:
В этом месяце Intel сообщается, что в общей сложности обнаружено 77 уязвимостей это варьируются от процессоров до графики и даже контроллеров Ethernet. За исключением 10 ошибок, остальные недостатки были обнаружены Intel в ходе собственного внутреннего тестирования. Хотя большинство недостатков безопасности довольно незначительны, с ограниченной областью применения и воздействия, некоторые из них могут оказать заметное влияние на продукты Intel. Были некоторые относительно открытий в этом году об уязвимостях безопасности в продуктах Intel который мог не только влияют на безопасность, но также влияют на производительность и надежность.
Intel заверила, что находится в процессе исправления всех 77 недостатков безопасности. Однако один из недостатков, официально отмеченный как CVE-2019-0169, имеет рейтинг серьезности CVSS 9,6. Излишне упоминать, что рейтинг выше 9 считается «критическим», что является высшей степенью серьезности. В настоящее время специальная веб-страница, посвященная ошибке, не содержит никаких подробностей, что указывает на то, что Intel не раскрывает информацию, чтобы гарантировать, что уязвимость системы безопасности не может быть использована и использована.
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
Очевидно, CVE-2019-0169 находится в Intel Management Engine или одном из его подкомпонентов, включая Intel CSME, который является автономным чипом на процессорах Intel, который используется для удаленного управления. При правильном развертывании или эксплуатации уязвимость может позволить неавторизованному лицу включить повышение привилегий, очистить информацию или развернуть атаки отказа в обслуживании через смежный доступ. Основным ограничением эксплойта является то, что он требует физического доступа к сети.
Другая уязвимость системы безопасности с рейтингом CVSS «Важно» существует в подсистеме Intel AMT. Официально помеченная как CVE-2019-11132, ошибка может позволить привилегированному пользователю включить повышение привилегий через доступ к сети. Некоторые из других заметных уязвимостей системы безопасности с рейтингом «Высокая степень серьезности», которые устраняет корпорация Intel, включают CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 и CVE-2019-0131.
Канонические объявления # Убунту Обновления для снижения последних уязвимостей Intel https://t.co/12ewhlNRkW через @MariusNestor pic.twitter.com/DDfJriz4QQ
- Софтпедия (@Softpedia) 12 ноября 2019 г.,
Ошибка «JCC Erratum» влияет на большинство недавно выпущенных процессоров Intel:
Уязвимость системы безопасности, именуемая «JCC Erratum», вызывает беспокойство в первую очередь из-за широкого воздействия. Эта ошибка кажется, существует в большинстве недавно выпущенных процессоров Intel, включая Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whisky lake, Comet Lake и Kaby Lake. Кстати, в отличие от некоторых ранее обнаруженных недостатков , эту ошибку можно исправить с помощью обновлений прошивки. Intel утверждает, что применение обновлений может немного снизить производительность процессоров на 0–4%. Фороникс как сообщается, проверил негативное влияние на производительность после применения средств устранения ошибок JCC и пришел к выводу, что это обновление повлияет на более широких пользователей ПК, чем предыдущие средства защиты программного обеспечения Intel.
Уязвимости микроархитектурных процессоров, такие как Spectre и Meltdown, были плохими, но по крайней мере Intel исправила их быстро. Теперь кажется, что еще один глубоко укоренившийся недостаток микросхемы оставался в кремнии Intel более года после того, как компанию об этом предупредили. https://t.co/VMVeMpLJKg
- Энди Гринберг (@a_greenberg) 12 ноября 2019 г.,
Intel гарантирует, что не было зарегистрировано или подтверждено реальных атак, основанных на обнаруженных уязвимостях безопасности. Кстати, у Intel есть по сообщениям сделало чрезвычайно трудным выяснить, какие именно ЦП безопасны, а какие нет.
Теги интел
