Η Intel επιδιόρθωσε εννέα τρωτά σημεία ασφαλείας με το Platform Update του Απριλίου 2020, με όλες τις ελλείψεις ασφαλείας υψηλής και μεσαίας σοβαρότητας που επηρεάζουν πολλά προϊόντα software, firmware και πλατφόρμες.
Τα ζητήματα ασφαλείας που επιδιορθώθηκαν σήμερα αναλύθηκαν λεπτομερώς στις 6 συμβουλές ασφαλείας που εκδόθηκαν από την Intel στο Product Security Center, που παραδόθηκαν σε πελάτες μέσω της διαδικασίας Intel Platform Update (IPU).
Οι ευπάθειες που αποκαλύπτονται σήμερα θα μπορούσαν να επιτρέψουν σε μη εξουσιοδοτημένους ή επικυρωμένους ή προνομιούχους χρήστες να ενεργοποιήσουν καταστάσεις denial of service και να κλιμακώσουν τα privileges σε αυξημένο επίπεδο προνομίων μέσω τοπικής ή γειτονικής πρόσβασης σε μη διορθωμένα συστήματα.
Κάθε μία από τις έξι συμβουλές που δημοσίευσε η Intel συνοδεύεται από μια λεπτομερή λίστα όλων των επηρεαζόμενων προϊόντων και συστάσεων για ευάλωτα προϊόντα και περιλαμβάνει επίσης στοιχεία επικοινωνίας για όσους θα ήθελαν να αναφέρουν ζητήματα ασφαλείας που εντοπίστηκαν σε όλα τα προϊόντα της Intel.
Μερικά από τα ζητήματα ασφαλείας επιδιορθώθηκαν σήμερα
Δύο από τις ευπάθειες που επιδιορθώθηκαν σήμερα υπάρχουν στα προϊόντα Intel PROSet / Wireless WiFi στα Windows 10 και επιτρέπουν στους εισβολείς:
- πιθανή ενεργοποίηση κλιμάκωσης προνομίων μέσω τοπικής πρόσβασης λόγω αδειών (δικαιωμάτων) που έχουν εξασφαλιστεί από το παρελθόν (CVE-2020-0557)
- να επιτρέψουν ενδεχόμενη denial of service μέσω παρακείμενης πρόσβασης λόγω ακατάλληλων περιορισμών buffer στον kernel mode driver (CVE-2020-0558)
Τα δύο ελαττώματα υψηλής σοβαρότητας που επιδιορθώνονται σήμερα υπάρχουν στο firmware του συστήματος για μερικούς μίνι υπολογιστές Intel NUC και στο Intel Modular Server MFS2600KISPP Compute Module, και καθιστούν δυνατό για τους εισβολείς:
- να ενεργοποιήσουν επικυρωμένους εισβολείς για πιθανή ενεργοποίηση κλιμάκωσης προνομίων μέσω τοπικής πρόσβασης λόγω ακατάλληλων περιορισμών στην προσωρινή μνήμη (CVE-2020-0600)
- να κάνουν πιθανή ενεργοποίηση κλιμάκωσης προνομίων μέσω παρακείμενης πρόσβασης λόγω ακατάλληλων ελέγχων συνθηκών (CVE-2020-0578)
Συμβουλές ενημέρωσης πλατφόρμας Απριλίου 2020
Οι σημερινές συμβουλές ασφαλείας της Intel παρατίθενται στον παρακάτω πίνακα, με πληροφορίες σχετικά με την αξιολόγηση σοβαρότητας εύρους CVSS για να βοηθήσουν τους χρήστες με προτεραιότητα ανάπτυξης κώδικα.
Η Intel συνήθως συνιστά τον έλεγχο των download links που παρέχονται στις συμβουλές ή την επικοινωνία με τους κατασκευαστές του συστήματός σας και τους προμηθευτές λειτουργικού συστήματος για να προσδιορίσετε τον τρόπο λήψης αυτών των ενημερώσεων.
Μια λίστα με ιστότοπους υποστήριξης κατασκευαστών υπολογιστών από τους οποίους μπορείτε να λάβετε τις περισσότερες ενημερώσεις είναι διαθέσιμη εδώ.
Η Intel δεν γνωρίζει κανένα από αυτά τα ζητήματα προς εκμετάλλευση, αλλά συνιστάται στους χρήστες να εγκαταστήσουν τις ενημερώσεις ασφαλείας που εκδόθηκαν σήμερα το συντομότερο δυνατό.
Ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομής των ΗΠΑ (CISA) δημοσίευσε επίσης μια ειδοποίηση που ενθαρρύνει τους χρήστες και τους διαχειριστές να επανεξετάσουν τις συμβουλές της Intel και να εφαρμόσουν όλες τις απαραίτητες ενημερώσεις ή λύσεις.
