چند آسیب‌پذیری در محصولات اینتل وصله شد
کد مطلب: 15432
تاریخ انتشار : دوشنبه ۱۳ خرداد ۱۳۹۸ ساعت ۱۲:۵۳
 
آسیب‌پذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME) به همراه چند آسیب‌پذیری دیگر در محصولات اینتل برطرف شدند.
چند آسیب‌پذیری در محصولات اینتل وصله شد
 
 
Share/Save/Bookmark
آسیب‌پذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME) به همراه چند آسیب‌پذیری دیگر در محصولات اینتل برطرف شدند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت ‫اینتل بیش از ۳۰ ‫آسیب‌پذیری را در محصولات مختلف خود ازجمله یک آسیب‌پذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME) که سوءاستفاده از آن می‌تواند منجر به افزایش امتیاز شود را برطرف کرده‌است.

این نقص (CVE-۲۰۱۹-۰۱۵۳) در زیرسیستم Intel CSME وجود دارد. این زیرسیستم، فناوری سفت‌افزار و سخت‌افزار سیستم مدیریت فعال Intel را که برای مدیریت از راه دور خارج از محدوده‌ رایانه‌های شخصی استفاده‌می‌شود، قدرت می‌بخشد. یک کاربر بدون احراز هویت می‌تواند به‌صورت بالقوه از این نقص برای اعمال افزایش امتیاز طی دسترسی شبکه‌ای، سوءاستفاده کند. این نقص، یک آسیب‌پذیری سرریز بافر با امتیاز CVSS9 از ۱۰ است. نسخه‌های ۱۲تا ۱۲.۰.۳۴ CSME تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. شرکت Intel به کاربران Intel CSME توصیه می‌کند به آخرین نسخه‌ منتشرشده توسط سازنده‌ سیستم که این نقص‌ها را برطرف کرده‌است به‌روزرسانی کنند.

اینتل در مجموع ۳۴ آسیب‌‌پذیری را برطرف کرده‌است که علاوه‌بر این، یک نقص بحرانی، ۷ مورد از آنها از نظر شدت «بالا»، ۲۱ مورد «متوسط» و ۵ مورد «پایین» رتبه‌بندی شده‌اند. این نقص‌ها جدا از نقص‌هایی هستند که اینتل چندی پیش برطرف کرده‌است. آن نقص‌ها، آسیب‌پذیری‌های اجرایی احتمالی به نام نمونه‌برداری داده‌‌ای ریزمعماری (MDS) بودند که تمامی CPUهای جدید Intelرا تحت‌تأثیر قرار داده بودند. چهار حمله‌ کانالی ZombieLoad، Fallout ،RIDL (Rogue In-Flight Data Load) و Store-to-Leak Forwarding اجازه‌ استخراج داده‌ها از سیستم‌های متأثر آن آسیب‌‌پذیری‌ها را می‌دادند.

یکی از آسیب‌پذیری‌های با شدت بالا که در توصیه‌نامه‌ جدید اینتل برطرف شده‌است، یک آسیب‌‌پذیری اعتبارسنجی ناکافی ورودی است که در Kernel Mode Driver تراشه‌های گرافیکی Intel i915 لینوکس وجود دارد. این نقص، یک کاربر احرازهویت‌شده را قادر می‌سازد از طریق یک دسترسی محلی، امتیاز خود را افزایش دهد. این آسیب‌پذیری با شناسه‌ CVE-۲۰۱۹-۱۱۰۸۵ردیابی می‌‌شود و دارای امتیاز CVSS۸.۸ از ۱۰ است.

آسیب‌‌پذیری با شدت بالای دیگر در سفت‌افزار سیستم ابزارگان Intel NUC (یک ابزارگان کوچک رایانه شخصی که قابلیت‌های پردازش، حافظه و ذخیره‌سازی را برای برنامه‌‌هایی همچون مجموعه نشانه‌های دیجیتال، مراکز رسانه‌ای و کیوسک‌ها را ارائه می‌دهد) وجود دارد. این نقص با شناسه‌ CVE-۲۰۱۹-۱۱۰۹۴ ردیابی می‌‌شود و دارای رتبه‌ی CVSS۷.۵ از ۱۰ است. این نقص ممکن است به کاربر احرازهویت‌شده اجازه دهد افزایش امتیاز، انکار سرویس یا افشای اطلاعات را به‌طور بالقوه از طریق دسترسی محلی اعمال سازد. شرکت اینتل توصیه می‌کند که محصولات متأثر زیر به آخرین نسخه‌ سفت‌افزاری به‌روزرسانی کنند.

نقص با شدت بالای دیگر که توسط خود Intel کشف شد در واسط سفت‌افزاری توسعه‌پذیر یکپارچه (UEFI) وجود دارد. UEFI مشخصه‌ای است که یک واسط نرم‌افزاری بین یک سیستم‌عامل و سفت‌افزار بستر تعریف می‌کند (اگرچه UEFIیک مشخصه‌ی صنعتی است، سفت‌افزار UEFI بااستفاده از کد مرجع Intelتحت‌تأثیر این آسیب‌پذیری قرار گرفته‌است). این نقص با شناسه‌ CVE-۲۰۱۹-۰۱۲۶ ردیابی می‌شود و دارای امتیاز CVSS۷.۲ از ۱۰ است سوءاستفاده از آن می‌تواند به‌طور بالقوه منجر به افزایش امتیاز یا انکار سرویس در سیستم‌های متأثر شود. به گفته‌ اینتل، این نقص ناشی کنترل ناکافی دسترسی در سفت‌افزار مرجع silicon برای پردازنده مقیاس‌پذیر Intel Xeon ، خانواده D پردازنده Intel Xeon است. مهاجم برای سوءاستفاده از این نقص نیاز به دسترسی محلی دارد.

دیگر نقص‌های با شدت بالا شامل موارد زیر است:
- آسیب‌پذیری تصفیه‌سازی (sanitization) ناصحیح داده‌ها در زیرسیستمی در سرویس‌های بستر کارگزار Intel (CVE-۲۰۱۹-۰۰۸۹)

- آسیب‌‌پذیری کنترل ناکافی دسترسی در زیرسیستم Intel CSME (CVE-۲۰۱۹-۰۰۹۰)

- آسیب‌پذیری کنترل ناکافی دسترسی (CVE-۲۰۱۹-۰۰۸۶) در نرم‌افزار بارگذار پویای برنامه کاربردی (یک ابزار Intelکه به کاربران اجازه می‌دهد بخش‌های کوچکی از کد جاوا را بر Intel CSME اجرا کنند)

- نقص سرریز بافر در زیرسیستمی در بارگزار پویای برنامه‌ کاربردی Intel (CVE-۲۰۱۹-۰۱۷۰)

اینتل به کاربران توصیه می‌کند سفت‌افزار خود را به این نسخه‌ سفت‌افزاری (یا جدیدتر) اختصاص‌داده شده برای مدل محصول متأثر خود، ارتقا دهند.
مرجع : مرکز ماهر