Intel corrige 95 vulnérabilités dans la mise à jour de la plate-forme de novembre 2020
Intel a corrigé 95 vulnérabilités dans le cadre du patch mardi de novembre 2020, y compris des vulnérabilités critiques affectant les produits Intel Wireless Bluetooth et Intel Active Management Technology (AMT).
Les problèmes ont été détaillés dans les 40 avis de sécurité publiés par Intel sur son centre de sécurité produit, la société ayant fourni des mises à jour de sécurité et fonctionnelles aux utilisateurs via le processus Intel Platform Update (IPU).
Intel fournit une liste de tous les produits concernés et des recommandations pour les produits vulnérables à la fin de chaque avis, ainsi que les coordonnées de ceux qui souhaitent signaler d’autres problèmes de sécurité ou vulnérabilités détectés dans les produits ou technologies de marque Intel.
Faits saillants de la mise à jour de la plateforme Intel de novembre 2020
Parmi les mises à jour de sécurité publiées ce mardi, Intel a corrigé une vulnérabilité critique avec un score CVSS de 9,4 / 10 dans les produits Intel Active Management Technology (AMT) et Intel Standard Manageability (ISM).
La faille (suivie comme CVE-2020-8752) est une écriture hors limites dans le sous-système IPv6 d’Intel AMT et ISM (versions antérieures à 11.8.80, 11.12.80, 11.22.80, 12.0.70, 14.0. 45) qui permet à distance non authentifiée d’élever les privilèges.
Une exploitation réussie nécessite que les produits vulnérables soient configurés avec IPv6 qui n’est pas une configuration par défaut selon Intel.
Une deuxième faille de sécurité critique (CVE-2020-12321) évaluée avec un score de base de gravité CVSS de 9,6 / 10 et affectant certains produits Intel Wireless Bluetooth a également été abordée dans la mise à jour de la plate-forme Intel de novembre 2020.
Le bogue est une restriction de tampon incorrecte dans les produits Bluetooth sans fil antérieurs à la version 21.110 qui permet une élévation non authentifiée de privilèges via un accès adjacent (réseau local uniquement).
Processeurs Intel corrigés contre les nouvelles attaques par canal latéral PLATYPUS
Les nouvelles vulnérabilités de canal latéral du processeur Intel (CVE-2020-8694 et CVE-2020-8695) baptisées PLATYPUS et révélées par un groupe international de chercheurs de l’Université de technologie de Graz, du CISPA Helmholtz Center for Information Security et de l’Université de Birmingham ont été également patché par appelé Platypus.
Une exploitation réussie des deux vulnérabilités pourrait entraîner une fuite d’informations à partir de l’interface RAPL (Running Average Power Limit), utilisée pour surveiller et gérer la consommation d’énergie des processeurs et de la mémoire DRAM.
Les chercheurs ont montré que l’interface RAPL peut être utilisée pour garder un œil sur la consommation d’énergie des systèmes ciblés et déduire les instructions exécutées par le processeur, permettant aux attaquants de voler des données de la mémoire.
Tous les principaux systèmes d’exploitation sont affectés selon l’équipe de recherche. «Sous Linux, le framework powercap fournit un accès sans privilège à Intel RAPL par défaut», ont-ils déclaré. «Sous Windows et macOS, Intel Power Gadget doit être installé.»
Pour plus d’information :
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram