Интел
Интел интензивно лови сигурносне пропусте у оквиру главних хардверских компоненти. Чини се да је овај месец прилично забрињавајући јер произвођач чипова тврди да је открио више од 70 грешака, недостатака и рупа у безбедности у неколико производа и стандарда. Иначе, већину грешака открио је Интел током „Интерног тестирања“, док су неке пронашли независни партнери и агенције.
Интел Сецурити Адвисори, месечни билтен, изузетно је цењено спремиште које бележи сигурносна ажурирања, теме о грешкама, нова истраживања о безбедности и активности ангажовања унутар заједнице за истраживање безбедности. Овомесечно саветовање о безбедности важно је само због великог броја безбедносних пропуста за које Интел тврди да их је открио у оквиру редовно коришћених рачунарских и мрежних производа. Непотребно је додавати да се већина савета овог месеца односи на проблеме које је Интелово интерно пронашло. Они су део процеса Интел Платформ Упдате (ИПУ). Интел наводно сарађује са око 300 организација на припреми и координацији објављивања ових исправки.
хттпс://ввв.интел.цом/цонтент/дам/ввв/публиц/ус/ен/видеос/цорпорате-информатион/ипу2019овервиев.мп4
Интел открива 77 безбедносних рањивости, али још ниједна није искоришћена у дивљини:
Овог месеца Интел је наводно је открио укупно 77 рањивости који се крећу од процесора до графичких, па чак и етхернет контролера. Изузев 10 грешака, Интел је открио остале недостатке током сопственог интерног тестирања. Иако је већина сигурносних недостатака прилично мања, са ограниченим опсегом применљивости и утицаја, неколико њих би могло имати запажен утицај на Интелове производе. Било их је у вези са открићима ове године о сигурносним рањивостима унутар Интелових производа која не само да би могла утичу на сигурност, али такође утичу на перформансе и поузданост.
Интел је уверио да је у процесу поправљања или исправљања свих 77 безбедносних недостатака. Међутим, једна од мана, која је званично означена као ЦВЕ-2019-0169, има оцену озбиљности ЦВСС 9,6. Непотребно је напомињати да се оцене изнад 9 сматрају „критичним“, што је највећа озбиљност. Тренутно наменска веб страница за грешку не нуди никакве детаље, што указује на то да Интел задржава информације како би осигурао да сигурносна рањивост не може бити усвојена и искоришћена.
хттпс://твиттер.цом/цхиакокхуа/статус/1194344044945530880?с=19
Изгледа да се ЦВЕ-2019-0169 налази у Интел Манагемент Енгинеу или једној од његових поткомпонената, укључујући Интел ЦСМЕ, који је самостални чип на Интел процесорима који се користи за даљинско управљање. Ако се правилно примени или искористи, рањивост може неовлашћеној особи омогућити ескалацију привилегија, стругање информација или примену напада ускраћивања услуге кроз суседни приступ. Главно ограничење експлоатације је то што захтева физички приступ мрежи.
Још једна безбедносна рањивост са „Важном“ ЦВСС оценом постоји у подсистему Интел АМТ. Службено означена као ЦВЕ-2019-11132, грешка би могла да дозволи привилегованом кориснику да омогући ескалацију привилегија путем мрежног приступа. Неке друге значајне безбедносне рањивости са оценом „Високе озбиљности“ којима се Интел бави су ЦВЕ-2019-11105, ЦВЕ-2019-11131 ЦВЕ-2019-11088, ЦВЕ-2019-11104, ЦВЕ-2019-11103, ЦВЕ- 2019-11097 и ЦВЕ-2019-0131.
Канонске објаве #Убунту Ажурирања за ублажавање најновијих рањивости компаније Интел хттпс://т.цо/12евхлНРкВ путем @МариусНестор пиц.твиттер.цом/ДДфЈриз4КК
- Софтпедиа (@Софтпедиа) 12. новембра 2019
Грешка „ЈЦЦ Ерратум“ утиче на већину недавно објављених Интел процесора:
Безбедносна рањивост, названа „ЈЦЦ Ерратум“, прилично је забрињавајућа пре свега због широко распрострањеног утицаја. Ова бубица чини се да постоји у већини Интелових недавно објављених процесора, укључујући Цоффее Лаке, Амбер Лаке, Цасцаде Лаке, Скилаке, Вхиски Лаке, Цомет Лаке и Каби Лаке. Узгред, за разлику од неких претходно откривених мана , ова грешка се може решити ажурирањем фирмвера. Интел тврди да би примена исправки могла мало погоршати перформансе процесора негде између 0 и 4%. Пхороник наводно је тестирао негативан утицај на перформансе након примене ублажавања ЈЦЦ Ерратум и закључује да ће ово ажурирање утицати на општије кориснике рачунара од Интелових претходних софтверских ублажавања.
Рањивости микроархитектурних процесора као што су Спецтре и Мелтдовн су биле лоше, али их је бар Интел одмах поправио. Сада се чини да се још један дубоко укорењени недостатак задржао у Интеловом силицијуму више од годину дана након што је компанија упозорена на то. хттпс://т.цо/ВМВеМпЉКг
- Анди Греенберг (@а_греенберг) 12. новембра 2019
Интел је осигурао да није било пријављених или потврђених напада у стварном свету који су се заснивали на откривеним сигурносним рањивостима. Иначе, Интел јесте наводно изузетно отежало откривање који су тачно ЦПУ сигурни или на њих утичу.
Ознаке интел
