Компания Intel выпустила 11 рекомендаций по безопасности, относящихся к 16 уязвимостям в ее продуктах. Вендор пропатчил семь ошибок с высоким уровнем опасности, а также ряд менее серьезных недостатков.

Эксплуатация багов могла привести к отказу в обслуживании, несанкционированному раскрытию информации и эскалации привилегий. Специалисты считают, что злоумышленники не успели взять на вооружение какую-либо из выявленных уязвимостей.

Наибольшую угрозу представляет ошибка CVE-2019-0159, связанная с багом в программе Linux Administrative Tools for Intel Network Adapters. Как следует из бюллетеня производителя, злоумышленник с локальным доступом, используя недостаточную защиту памяти в системном ПО сетевых карт, может повысить свои привилегии на устройстве. Недостаток получил 8,2 балла по шкале CVSS и исправлен в релизе прошивки 24.3.

Компания Intel выпустила исправление для Plundervolt

В декабрьский комплект патчей также включены заплатки для уязвимости Plundervolt. Баг в системе Software Guard Extensions (SGX) позволяет манипулировать напряжением питания процессора, что может привести к повышению привилегий и раскрытию важной информации. Недостаток зарегистрирован как CVE-2019-11157 и оценен в 7,9 балла CVSS. Ошибка затрагивает следующие процессоры Intel:

  • Core 6, 7, 8, 9 и 10 поколения;
  • Xeon E3 v5 и v6;
  • Xeon серий E-2100 и E-2200.

Вендор выпустил обновление микрокода для своих продуктов, теперь производителям компьютеров предстоит включить заплатку в состав BIOS. В I квартале следующего года инженеры Intel планируют также перевыпустить ключи безопасности, ставшие причиной уязвимости.

Пять заплаток предназначены для устройств на платформе NUC. Баги в прошивке, получившие от 7,5 до 7,8 балла CVSS, позволяют киберпреступнику с локальным доступом получить расширенный набор прав в системе. Причины появления уязвимостей разные: некорректная проверка входных данных, целочисленное переполнение, неадекватный контроль доступа, возможность записи за пределами выделенного диапазона памяти. Проблемы выявлены в прошивках 19 моделей устройств, каждый продукт получил обновление с патчем.

Менее опасные баги исправлены в мобильной системе Intel DPTF (Dynamic Platform and Thermal Framework), драйвере сетевого адаптера Ethernet I218, одном из компонентов центра управления и настройки Intel SCS, а также других продуктах.

Разработчики Intel выпускают обновления безопасности каждый второй вторник месяца. Предыдущий, ноябрьский комплект патчей содержал исправления для 77 уязвимостей, включая заплатку для бага ZombieLoad v2. Ошибка, которая затрагивает все процессоры вендора, выпущенные с 2013 года, может привести к утечке данных.

Категории: Кибероборона, Уязвимости