Intel
Intel si močno prizadeva za varnostne ranljivosti znotraj glavnih komponent strojne opreme. Ta mesec je očitno precej zaskrbljujoč, saj proizvajalec čipov trdi, da je odkril več kot 70 napak, napak in varnostnih vrzeli v več izdelkih in standardih. Mimogrede je večino napak Intel odkril med 'internim testiranjem', nekaj pa so jih našli neodvisni partnerji in agencije.
Intel Security Advisory, mesečni bilten, je zelo cenjeno skladišče, ki beleži varnostne posodobitve, teme o napakah, nove varnostne raziskave in dejavnosti sodelovanja v skupnosti za varnostne raziskave. Ta mesec je Varnostno svetovanje pomembno samo zaradi velikega števila varnostnih ranljivosti, za katere Intel trdi, da jih je odkril v redno uporabljanih računalniških in omrežnih izdelkih. Ni treba posebej poudarjati, da je večina nasvetov tega meseca namenjena vprašanjem, ki jih je Intel našel znotraj. So del procesa Intel Platform Update (IPU). Po poročanju naj bi Intel sodeloval s približno 300 organizacijami pri pripravi in usklajevanju izdaje teh posodobitev.
https://www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4
Intel razkril 77 varnostnih ranljivosti, vendar še nobena ni bila izkoriščena v divjini:
Ta mesec je Intel naj bi razkril skupno 77 ranljivosti od procesorjev do grafičnih in celo ethernetnih krmilnikov. Poleg 10 napak je preostale napake Intel odkril med lastnim internim testiranjem. Medtem ko je večina varnostnih napak precej majhnih, z omejenim obsegom uporabnosti in vpliva, pa bi lahko nekatere imele pomemben vpliv na Intelove izdelke. Nekaj jih je bilo glede letošnjih odkritij o varnostnih ranljivostih v Intelovih izdelkih kar ne bi moglo samo vplivajo na varnost, vplivajo pa tudi na zmogljivost in zanesljivost.
Intel je zagotovil, da je v postopku popravila ali odprave vseh 77 varnostnih napak. Vendar ima ena od napak, uradno označena kot CVE-2019-0169, resnost CVSS 9,6. Ni treba posebej omenjati, da ocene nad 9 veljajo za „kritične“, kar je največja resnost. Trenutno namenska spletna stran za napako ne vsebuje nobenih podrobnosti, kar pomeni, da Intel prikriva informacije, da bi zagotovil, da varnostne ranljivosti ni mogoče sprejeti in izkoristiti.
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
Zdi se, da se CVE-2019-0169 nahaja v Intel Management Engine ali eni od njegovih podkomponent, vključno z Intel CSME, ki je samostojni čip na procesorjih Intel, ki se uporablja za oddaljeno upravljanje. Če je ranljivost pravilno razporejena ali izkoriščena, lahko nepooblaščeni osebi omogoči stopnjevanje pravic, strganje informacij ali uvedbo napadov zavrnitve storitve s sosednjim dostopom. Glavna omejitev eksploatacije je, da zahteva fizični dostop do omrežja.
V podsistemu Intel AMT obstaja še ena varnostna ranljivost z oceno CVSS „Pomembno“. Uradno označen kot CVE-2019-11132, je lahko napaka privilegiranemu uporabniku omogočila stopnjevanje privilegij prek omrežnega dostopa. Nekatere druge pomembne varnostne ranljivosti z oceno 'Visoka resnost', ki jih Intel odpravlja, vključujejo CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 in CVE-2019-0131.
Kanonične objave #Ubuntu Posodobitve za ublažitev najnovejših Intelovih ranljivosti https://t.co/12ewhlNRkW prek @MariusNestor pic.twitter.com/DDfJriz4QQ
- Softpedia (@Softpedia) 12. november 2019
Napaka 'JCC Erratum' vpliva na večino nedavno izdanih procesorjev Intel:
Varnostna ranljivost, imenovana 'JCC Erratum', je zaskrbljujoča predvsem zaradi širokega vpliva. Ta napaka zdi se, da obstaja v večini Intelovih nedavno izdanih procesorjev, vključno z Lake Lake, Amber Lake, Cascade Lake, Skylake, Whisky Lake, Comet Lake in Kaby Lake. Mimogrede, za razliko od nekaterih prej odkritih napak , to napako je mogoče odpraviti s posodobitvami vdelane programske opreme. Intelove trditve, ki uporabljajo posodobitve, bi lahko nekoliko poslabšale zmogljivost procesorjev, kjer koli med 0 in 4%. Phoronix naj bi testiral negativni vpliv na delovanje po uporabi blažilcev JCC Erratum in ugotovil, da bo ta posodobitev vplivala na bolj splošne uporabnike osebnih računalnikov kot Intelove prejšnje blažitve programske opreme.
Ranljivosti mikroarhitekturnih procesorjev, kot sta Spectre in Meltdown, so bile slabe, vendar jih je vsaj Intel takoj odpravil. Zdaj se zdi, da se je v Intelovem siliciju več kot eno leto po opozorilu družbe zadrževala še ena globoko vgrajena napaka čipa. https://t.co/VMVeMpLJKg
- Andy Greenberg (@a_greenberg) 12. november 2019
Intel je zagotovil, da v resničnem svetu ni bilo prijavljenih ali potrjenih napadov, ki bi temeljili na odkritih varnostnih ranljivostih. Mimogrede, Intel je domnevno je izredno težko natančno ugotovil, kateri CPU so varni ali nanje vplivajo.
Oznake intel