آسیبپذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME) به همراه چند آسیبپذیری دیگر در محصولات اینتل برطرف شدند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت اینتل بیش از ۳۰ آسیبپذیری را در محصولات مختلف خود ازجمله یک آسیبپذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME) که سوءاستفاده از آن میتواند منجر به افزایش امتیاز شود را برطرف کردهاست.
این نقص (CVE-۲۰۱۹-۰۱۵۳) در زیرسیستم Intel CSME وجود دارد. این زیرسیستم، فناوری سفتافزار و سختافزار سیستم مدیریت فعال Intel را که برای مدیریت از راه دور خارج از محدوده رایانههای شخصی استفادهمیشود، قدرت میبخشد. یک کاربر بدون احراز هویت میتواند بهصورت بالقوه از این نقص برای اعمال افزایش امتیاز طی دسترسی شبکهای، سوءاستفاده کند. این نقص، یک آسیبپذیری سرریز بافر با امتیاز CVSS9 از ۱۰ است. نسخههای ۱۲تا ۱۲.۰.۳۴ CSME تحتتأثیر این آسیبپذیری قرار گرفتهاند. شرکت Intel به کاربران Intel CSME توصیه میکند به آخرین نسخه منتشرشده توسط سازنده سیستم که این نقصها را برطرف کردهاست بهروزرسانی کنند.
اینتل در مجموع ۳۴ آسیبپذیری را برطرف کردهاست که علاوهبر این، یک نقص بحرانی، ۷ مورد از آنها از نظر شدت «بالا»، ۲۱ مورد «متوسط» و ۵ مورد «پایین» رتبهبندی شدهاند. این نقصها جدا از نقصهایی هستند که اینتل چندی پیش برطرف کردهاست. آن نقصها، آسیبپذیریهای اجرایی احتمالی به نام نمونهبرداری دادهای ریزمعماری (MDS) بودند که تمامی CPUهای جدید Intelرا تحتتأثیر قرار داده بودند. چهار حمله کانالی ZombieLoad، Fallout ،RIDL (Rogue In-Flight Data Load) و Store-to-Leak Forwarding اجازه استخراج دادهها از سیستمهای متأثر آن آسیبپذیریها را میدادند.
یکی از آسیبپذیریهای با شدت بالا که در توصیهنامه جدید اینتل برطرف شدهاست، یک آسیبپذیری اعتبارسنجی ناکافی ورودی است که در Kernel Mode Driver تراشههای گرافیکی Intel i915 لینوکس وجود دارد. این نقص، یک کاربر احرازهویتشده را قادر میسازد از طریق یک دسترسی محلی، امتیاز خود را افزایش دهد. این آسیبپذیری با شناسه CVE-۲۰۱۹-۱۱۰۸۵ردیابی میشود و دارای امتیاز CVSS۸.۸ از ۱۰ است.
آسیبپذیری با شدت بالای دیگر در سفتافزار سیستم ابزارگان Intel NUC (یک ابزارگان کوچک رایانه شخصی که قابلیتهای پردازش، حافظه و ذخیرهسازی را برای برنامههایی همچون مجموعه نشانههای دیجیتال، مراکز رسانهای و کیوسکها را ارائه میدهد) وجود دارد. این نقص با شناسه CVE-۲۰۱۹-۱۱۰۹۴ ردیابی میشود و دارای رتبهی CVSS۷.۵ از ۱۰ است. این نقص ممکن است به کاربر احرازهویتشده اجازه دهد افزایش امتیاز، انکار سرویس یا افشای اطلاعات را بهطور بالقوه از طریق دسترسی محلی اعمال سازد. شرکت اینتل توصیه میکند که محصولات متأثر زیر به آخرین نسخه سفتافزاری بهروزرسانی کنند.
نقص با شدت بالای دیگر که توسط خود Intel کشف شد در واسط سفتافزاری توسعهپذیر یکپارچه (UEFI) وجود دارد. UEFI مشخصهای است که یک واسط نرمافزاری بین یک سیستمعامل و سفتافزار بستر تعریف میکند (اگرچه UEFIیک مشخصهی صنعتی است، سفتافزار UEFI بااستفاده از کد مرجع Intelتحتتأثیر این آسیبپذیری قرار گرفتهاست). این نقص با شناسه CVE-۲۰۱۹-۰۱۲۶ ردیابی میشود و دارای امتیاز CVSS۷.۲ از ۱۰ است سوءاستفاده از آن میتواند بهطور بالقوه منجر به افزایش امتیاز یا انکار سرویس در سیستمهای متأثر شود. به گفته اینتل، این نقص ناشی کنترل ناکافی دسترسی در سفتافزار مرجع silicon برای پردازنده مقیاسپذیر Intel Xeon ، خانواده D پردازنده Intel Xeon است. مهاجم برای سوءاستفاده از این نقص نیاز به دسترسی محلی دارد.
دیگر نقصهای با شدت بالا شامل موارد زیر است:
- آسیبپذیری تصفیهسازی (sanitization) ناصحیح دادهها در زیرسیستمی در سرویسهای بستر کارگزار Intel (CVE-۲۰۱۹-۰۰۸۹)
- آسیبپذیری کنترل ناکافی دسترسی در زیرسیستم Intel CSME (CVE-۲۰۱۹-۰۰۹۰)
- آسیبپذیری کنترل ناکافی دسترسی (CVE-۲۰۱۹-۰۰۸۶) در نرمافزار بارگذار پویای برنامه کاربردی (یک ابزار Intelکه به کاربران اجازه میدهد بخشهای کوچکی از کد جاوا را بر Intel CSME اجرا کنند)
- نقص سرریز بافر در زیرسیستمی در بارگزار پویای برنامه کاربردی Intel (CVE-۲۰۱۹-۰۱۷۰)
اینتل به کاربران توصیه میکند سفتافزار خود را به این نسخه سفتافزاری (یا جدیدتر) اختصاصداده شده برای مدل محصول متأثر خود، ارتقا دهند.