Intel
Spoločnosť Intel intenzívne hľadala chyby zabezpečenia v rámci bežných hardvérových komponentov. Tento mesiac sa zjavne javí ako dosť znepokojujúci, pretože výrobca čipov tvrdí, že objavil viac ako 70 chýb, chýb a bezpečnostných medzier v rámci niekoľkých produktov a štandardov. Mimochodom, väčšinu chýb objavila spoločnosť Intel počas „Interného testovania“, zatiaľ čo niektoré z nich našli partneri a agentúry tretích strán.
Intel Security Advisory, mesačný bulletin, je vysoko hodnoteným archívom, ktoré zaznamenáva bezpečnostné aktualizácie, témy týkajúce sa chýb, nový výskum v oblasti bezpečnosti a aktivity zapojenia v rámci komunity pre výskum bezpečnosti. Poradenstvo v oblasti bezpečnosti v tomto mesiaci je dôležité jednoducho kvôli veľkému počtu bezpečnostných zraniteľností, ktoré spoločnosť Intel údajne odhalila v rámci pravidelne používaných výpočtových a sieťových produktov. Netreba dodávať, že väčšina odporúčaní z tohto mesiaca je určená na problémy, ktoré interne našla spoločnosť Intel. Sú súčasťou procesu Intel Platform Update (IPU). Spoločnosť Intel údajne spolupracuje s približne 300 organizáciami na príprave a koordinácii vydávania týchto aktualizácií.
https://www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4
Spoločnosť Intel zverejnila 77 bezpečnostných chýb, ale zatiaľ neboli využité v prírode:
Tento mesiac má Intel údajne zverejnil spolu 77 zraniteľností od procesorov po grafiku a dokonca aj radiče ethernet. Okrem 10 chýb, zvyšok chýb objavil Intel počas vlastného interného testovania. Aj keď väčšina bezpečnostných chýb je pomerne malá, s obmedzeným rozsahom použiteľnosti a dopadom, niekoľko z nich môže mať výrazný vplyv na produkty spoločnosti Intel. Niektoré už boli týkajúce sa tohtoročných objavov o bezpečnostných chybách v produktoch Intel ktorý mohol nielen vplyv na bezpečnosť, ale tiež na výkon a spoľahlivosť.
Spoločnosť Intel ubezpečila, že je v procese opravy alebo opravy všetkých 77 bezpečnostných chýb. Jedna z chýb, oficiálne označená ako CVE-2019-0169, má však závažnosť CVSS 9.6. Je potrebné spomenúť, že hodnotenie nad 9 sa považuje za „kritické“, čo je najvyššia závažnosť. Špeciálna webová stránka s chybou v súčasnosti neposkytuje žiadne podrobnosti, čo naznačuje, že spoločnosť Intel zadržiava informácie, aby zabezpečila, že nebude možné prijať a zneužiť chybu zabezpečenia.
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
Zdá sa, že CVE-2019-0169 je umiestnený v Intel Management Engine alebo v jednej z jeho podčastí, vrátane Intel CSME, čo je samostatný čip na procesoroch Intel, ktorý sa používa na vzdialenú správu. Ak je táto chyba správne nasadená alebo zneužitá, mohla by umožniť neoprávnenej osobe povoliť eskaláciu privilégií, škrabanie informácií alebo nasadenie útokov odmietnutia služby prostredníctvom susedného prístupu. Hlavným obmedzením zneužitia je, že vyžaduje fyzický prístup k sieti.
V subsystéme Intel AMT existuje ďalšia bezpečnostná chyba s „dôležitým“ hodnotením CVSS. Táto chyba bola oficiálne označená ako CVE-2019-11132 a mohla tak oprávnenému používateľovi umožniť eskaláciu privilégií prostredníctvom prístupu do siete. Medzi ďalšie významné chyby zabezpečenia s hodnotením „vysokej závažnosti“, ktorým sa venuje spoločnosť Intel, patrí CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 a CVE-2019-0131.
Kanonické oznamy # Ubuntu Aktualizácie na zmiernenie najnovších chýb zabezpečenia Intel https://t.co/12ewhlNRkW cez @MariusNestor pic.twitter.com/DDfJriz4QQ
- Softpedia (@Softpedia) 12. novembra 2019
Chyba „JCC Erratum“ ovplyvňuje väčšinu nedávno vydaných procesorov Intel:
Zraniteľnosť zabezpečenia s názvom „JCC Erratum“ sa týka predovšetkým kvôli rozsiahlemu dosahu. Táto chyba zdá sa, že existuje vo väčšine nedávno vydaných procesorov Intel, vrátane Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whisky lake, Comet Lake a Kaby Lake. Mimochodom, na rozdiel od niektorých skôr objavených nedostatkov , túto chybu je možné vyriešiť pomocou aktualizácií firmvéru. Tvrdenie spoločnosti Intel, že použitie aktualizácií by mohlo mierne zhoršiť výkon CPU kdekoľvek medzi 0 a 4%. Phoronix údajne testoval negatívny vplyv na výkon po uplatnení zmierňovacích zmien JCC Erratum a dospel k záveru, že táto aktualizácia bude mať dopad na všeobecnejších používateľov počítačov ako predchádzajúce zmierňovanie softvérových dopadov spoločnosti Intel.
Zraniteľnosti mikroarchitektúrnych procesorov ako Spectre a Meltdown boli zlé, ale Intel ich aspoň pohotovo opravil. Teraz sa zdá, že ďalšia hlboko zakorenená chyba čipu pretrvávala v kremíku spoločnosti Intel viac ako rok potom, čo bola spoločnosť na to upozornená. https://t.co/VMVeMpLJKg
- Andy Greenberg (@a_greenberg) 12. novembra 2019
Spoločnosť Intel zabezpečila, že neexistujú žiadne hlásené ani potvrdené útoky v reálnom svete, ktoré by boli založené na odhalených bezpečnostných chybách. Mimochodom, Intel má údajne bolo nesmierne ťažké presne zistiť, ktoré CPU sú bezpečné alebo ovplyvnené.
Značky intel
