Intel
Společnost Intel intenzivně hledala bezpečnostní chyby v hlavních hardwarových součástech. Tento měsíc se zjevně zdá být spíše znepokojivý, protože výrobce čipů tvrdí, že objevil více než 70 chyb, nedostatků a mezer v zabezpečení u několika produktů a standardů. Mimochodem, většinu chyb objevila společnost Intel během „Interního testování“, zatímco několik z nich našli partneři a agentury třetích stran.
Intel Security Advisory, měsíční bulletin, je vysoce ceněné úložiště, které zaznamenává aktualizace zabezpečení, témata odměn za chyby, nový výzkum v oblasti zabezpečení a aktivity v rámci komunity zabývající se výzkumem zabezpečení. Informační zpravodaj pro tento měsíc je důležitý jednoduše kvůli velkému počtu bezpečnostních slabin, které společnost Intel tvrdí, že odhalila v rámci pravidelně používaných počítačových a síťových produktů. Není třeba dodávat, že většina doporučení z tohoto měsíce je pro problémy, které interně našel Intel. Jsou součástí procesu Intel Platform Update (IPU). Společnost Intel údajně spolupracuje s přibližně 300 organizacemi na přípravě a koordinaci vydání těchto aktualizací.
https://www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4
Společnost Intel zveřejnila 77 bezpečnostních chyb, ale žádná z nich nebyla dosud v přírodě zneužita:
Tento měsíc má Intel údajně odhalil celkem 77 zranitelností od procesorů po grafiku a dokonce i řadiče ethernet. Kromě 10 chyb, zbytek nedostatků objevil Intel během vlastního interního testování. Zatímco většina bezpečnostních nedostatků je spíše menších rozměrů, s omezeným rozsahem použitelnosti a dopadu, několik z nich může mít výrazný dopad na produkty Intel. Nějaké byly týkající se letošních objevů o chybách zabezpečení produktů Intel což by nejen mohlo ovlivnit zabezpečení, ale také ovlivnit výkon a spolehlivost.
Intel se ujistil, že právě opravuje nebo opravuje všech 77 bezpečnostních chyb. Jedna z chyb, oficiálně označená jako CVE-2019-0169, však má hodnocení závažnosti CVSS 9.6. Není třeba zmínit, že hodnocení nad 9 jsou považována za „kritická“, což je nejvyšší závažnost. Specializovaná webová stránka pro tuto chybu v současné době nenabízí žádné podrobnosti, což naznačuje, že Intel zadržuje informace, aby zajistil, že chybu zabezpečení nebude možné přijmout a zneužít.
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
Zdá se, že CVE-2019-0169 je umístěn v Intel Management Engine nebo v jedné z jeho dílčích komponent, včetně Intel CSME, což je samostatný čip na CPU Intel, který se používá pro vzdálenou správu. Pokud je tato chyba správně nasazena nebo zneužita, mohla by umožnit neoprávněné osobě umožnit eskalaci oprávnění, škrábání informací nebo nasazení útoků odepření služby prostřednictvím sousedního přístupu. Hlavní omezení zneužití spočívá v tom, že vyžaduje fyzický přístup k síti.
V subsystému Intel AMT existuje další chyba zabezpečení s „důležitým“ hodnocením CVSS. Oficiálně označen jako CVE-2019-11132, chyba mohla umožnit privilegovanému uživateli povolit eskalaci privilegií prostřednictvím přístupu k síti. Mezi další významné chyby zabezpečení s hodnocením „vysoké závažnosti“, kterým se společnost Intel věnuje, patří CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 a CVE-2019-0131.
Kanonické zprávy # Ubuntu Aktualizace zmírňující nejnovější chyby zabezpečení Intel https://t.co/12ewhlNRkW přes @MariusNestor pic.twitter.com/DDfJriz4QQ
- Softpedia (@Softpedia) 12. listopadu 2019
Chyba „JCC Erratum“ ovlivňuje většinu nedávno vydaných procesorů Intel:
Zranitelnost zabezpečení s názvem „JCC Erratum“ se týká především primárního dopadu. Tato chyba Zdá se, že existuje ve většině nedávno vydaných procesorů Intel, včetně Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whisky lake, Comet Lake a Kaby Lake. Mimochodem, na rozdíl od některých dříve objevených nedostatků , tuto chybu lze vyřešit pomocí aktualizací firmwaru. Intel tvrdí, že použití aktualizací by mohlo mírně snížit výkon CPU kdekoli mezi 0 a 4%. Phoronix údajně testoval negativní dopad na výkon po uplatnění zmírnění JCC Erratum a dospěl k závěru, že tato aktualizace bude mít dopad na obecnější uživatele PC než na předchozí softwarová zmírnění Intel.
Zranitelnosti mikroarchitekturních procesorů, jako jsou Spectre a Meltdown, byly špatné, ale Intel je alespoň rychle opravil. Nyní se zdá, že další hluboce zakořeněná chyba čipu přetrvávala v křemíku společnosti Intel více než rok poté, co byla společnost na to upozorněna. https://t.co/VMVeMpLJKg
- Andy Greenberg (@a_greenberg) 12. listopadu 2019
Společnost Intel zajistila, že nebyly hlášeny ani potvrzeny skutečné útoky založené na zjištěných chybách zabezpečení. Mimochodem, Intel ano údajně bylo extrémně obtížné přesně zjistit, které CPU jsou bezpečné nebo ovlivněné.
Značky Intel
