В Intel исправили 95 уязвимостей в рамках выпуска ноябрьского обновления

Дата: 12.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
В Intel исправили 95 уязвимостей в рамках выпуска ноябрьского обновления

В Intel объявили об устранении 95 уязвимостей, в том числе нескольких критических, которые затрагивали продукты Intel Wireless Bluetooth и Intel Active Management Technology. Ранее проблемы безопасности были описаны в 40 рекомендациях, опубликованных в «Центре безопасности продуктов».

К наиболее важным обновлениям безопасности стоит отнести устранение критической уязвимости с рейтингом 9,4 из 10 CVSS, которая ранее была обнаружена в продуктах Intel Active Management Technology (AMT) и Intel Standard Manageability (ISM). Уязвимость CVE-2020-8752 позволяла удаленно и без аутентификации повышать привилегии.

Еще одной критической уязвимостью была проблема CVE-2020-12321, которая имела рейтинг 9,6 из 10 CVSS и влияла на некоторые продукты Intel Wireless Bluetooth. Уязвимость проявлялась неправильным ограничением буфера в продуктах с беспроводной связью Bluetooth до версии 21.110, что позволяло неавторизованным пользователям повышать привилегии через смежный доступ.

Также были исправлены обнаруженные ранее уязвимости побочного канала центрального процессора Intel CVE-2020-8694 и CVE-2020-8695, которые получили название PLATYPUS. Успешная эксплуатация этих ошибок приводила к утечке данных из интерфейса ограничения средней мощности (RAPL), который применяется для отслеживания и управления потребляемой мощностью центрального процессора и памяти DRAM.

Проведенные исследования показали, что интерфейс RAPL может использоваться для отслеживания энергопотребления целевых систем и установления того, какой функционал выполняет центральный процессор, что позволяет киберпреступникам красть информацию из памяти. По мнению специалистов исследовательской группы, проблема касается всех популярных операционных систем: «В Linux платформа powercap по умолчанию предоставляет к Intel RAPL непривилегированный доступ. В macOS и Windows для этого потребуется устанавливать Intel Power Gadget», – заявили исследователи.

Джерри Брайант, руководитель компании Intel по коммуникациям, отметил: «На данный момент мы не располагаем информацией о том, что какие-то из 95 исправленных нами уязвимостей эксплуатировались при проведении реальных атак».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *