Компания Intel выпустила патчи для двух уязвимостей в своих программных и аппаратных продуктах. Эксплуатация ошибок позволяла злоумышленникам повысить свои привилегии и скомпрометировать информацию жертвы.

Первый баг связан с Intel Easy Streaming Wizard — инструментом, упрощающим настройку ПО для потокового вещания Open Broadcaster Software. Проблема возникла из-за неправильных прав доступа к файлам в установщике приложения. В результате авторизованный злоумышленник мог повысить свои привилегии без взаимодействия с жертвой. Уязвимость получила идентификатор CVE-2019-11166 и 5,7 балла по шкале CVSS. Для устранения бага пользователям рекомендуют обновить Easy Streaming Wizard до сборки 2.1.0731 или выше.

Вторая ошибка позволяет провести атаку по стороннему каналу и характерна для процессоров Intel Xeon E5, E7 и SP, поддерживающих технологии прямого ввода-вывода данных (DDIO) и удаленного прямого доступа к памяти (RDMA). Об этой уязвимости, названной NetCAT, 10 сентября сообщили исследователи из университета VU Amsterdam. Злоумышленники могут использовать ее для удаленной атаки на целевую систему и компрометации данных, оседающих в кэше процессора.

«Часть информации, которую потенциально можно заполучить с помощью этой уязвимости, может использоваться для усиления других способов атаки», — сообщается в рекомендации Intel. Один из сценариев атаки, в ходе которой исследователям удалось воссоздать ввод с клавиатуры, продемонстрирован на видео.

Уязвимость получила идентификатор CVE-2019-11184 и 2,7 балла по шкале CVSS.

В мае этого года специалисты Intel сообщили о новом классе атак по сторонним каналам, затрагивающем все современные процессоры производителя. Проблема могла привести к утечке конфиденциальных данных из памяти чипа. Компания выпустила обновление микрокода для уязвимых продуктов и устранила баг на аппаратном уровне в процессорах и микросхемах 8-го и 9-го поколений.

Категории: Кибероборона, Уязвимости