Intel vient de sortir 29 avis de sécurité concernant 132 divers problèmes dans le firmware du BIOS des processeurs Intel. Les produits concernés incluent les produits Bluetooth, Outils de technologie de gestion active, les machines NUC Mini PC, et la bibliothèque de sécurité d'Intel.
Selon Jerry Bryant, Directeur principal des communications d'Intel, la plupart des vulnérabilités ont été découvertes en interne, par la propre diligence de l'entreprise. La plupart des bugs ont été révélés via le programme de bug bounty d'Intel et ses propres recherches. En comparaison, au cours des dernières années, la divulgation des vulnérabilités est principalement venue de l'extérieur, signalés via le programme de bug bounty de divers chercheurs. L'amélioration de cette année est principalement due au cycle de vie du développement de la sécurité d'Intel (SDL) programme.
56 du 132 les vulnérabilités corrigées lors du Patch Tuesday de ce mois-ci ont été découvertes dans les graphiques, composants réseau et Bluetooth. « Grâce à la SDL, nous tirons des enseignements des vulnérabilités découvertes et apportons des améliorations à des éléments tels que l'analyse automatisée du code et la formation, ainsi que l'utilisation de ces informations pour informer nos événements internes de l'équipe rouge," Bryant a déclaré dans un article de blog.
Intel fixe 29 Vulnérabilités graves en juin 2021 Patch Tuesday
La société a adressé 29 vulnérabilités classées comme étant de haute gravité, liés à l'élévation des privilèges. La liste comprend quatre élévations de privilèges locaux dans le micrologiciel des produits CPU d'Intel, une élévation des privilèges locaux dans la technologie de virtualisation Intel pour les E/S dirigées (VT-d), un problème d'escalade de privilèges dans la bibliothèque de sécurité Intel qui peut être exploité sur le réseau, et un problème d'escalade de privilèges dans NUC. Autre grave, des bogues d'escalade de privilèges ont été trouvés dans l'assistant de pilote et d'assistance d'Intel (DSA) logiciel et plateforme RealSense ID, ainsi qu'une faille de déni de service dans des contrôleurs Thunderbolt spécifiques.
Plus d'informations sur certains des bugs graves:
CVE-2020-24489: Une vulnérabilité de sécurité potentielle dans certaines technologies de virtualisation Intel® pour les E/S dirigées (VT-d) les produits peuvent permettre une escalade de privilège. Intel publie des mises à jour du firmware pour atténuer cette vulnérabilité potentielle.
CVE-2021-24489: Une vulnérabilité de sécurité potentielle dans certaines technologies de virtualisation Intel® pour les E/S dirigées (VT-d) les produits peuvent permettre une escalade de privilège. Intel publie des mises à jour du firmware pour atténuer cette vulnérabilité potentielle.
CVE-2020-12357: Des vulnérabilités de sécurité potentielles dans le micrologiciel du BIOS pour certains processeurs Intel® peuvent permettre une élévation des privilèges ou un déni de service. Intel publie des mises à jour du firmware pour atténuer ces vulnérabilités potentielles.
Quant au problème de gravité élevée dans la bibliothèque de sécurité Intel, il a été décrit comme « l'échange de clés sans authentification d'entité dans l'Intel(R) Bibliothèque de sécurité avant la version 3.3 peut permettre à un utilisateur authentifié d'activer potentiellement l'élévation des privilèges via l'accès au réseau. La vulnérabilité est connue sous le nom de CVE-2021-0133, et a une cote CVSS de 7.7.
Savais-tu?
Plus tôt cette année, Intel et Cybereason ont combiné leurs efforts pour ajouter des défenses anti-ransomware à la 11e génération de processeurs Intel Core vPro professionnels. L’amélioration est basée sur le matériel et est intégrée à la plate-forme vPro d’Intel grâce à sa technologie de protection matérielle et de détection des menaces..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: