Intel залатала «дыры» в ПО для диагностики процессоров и в прошивке SSD DC S4500/S4600

После публикации в январе 2018 года отчёта об обнаруженных в процессорах Intel уязвимостей Meltdown и Spectre на продукцию микропроцессорного гиганта нацелилось самое пристальное внимание со стороны специалистов по кибербезопасности. Для них это непаханое поле деятельности и возможность широко заявить о себе, а для поклонников продукции Intel ? это надежда на улучшение защиты продуктов от взлома и от утечки данных.

Интересно, что очередная новость об обнаруженных в продукции Intel уязвимостях пришла одновременно как из самой компании, так и стараниями специалистов компании Eclypsium. Команда инженеров Intel обнаружила и смогла ликвидировать «дыру» в прошивке SSD-накопителей корпоративного класса в сериях DC S4500 и S4600, а исследователи Eclypsium выявили и сообщили Intel об уязвимости в утилите для диагностики процессоров. В настоящий момент обнаруженные уязвимости закрыты выпуском исправленных версий утилиты и прошивок.

Самой опасной оказалась уязвимость, обнаруженная Eclypsium. Уязвимость в утилите Intel, получившая регистрационный номер CVE-2019-11133, оценена как угроза в 8,2 балла по 10-бальной шкале CVSS 3.0. Эта уязвимость позволяет использовать допущенные в утилите ошибки в организации доступа к техническим данным. Используя уязвимость злоумышленник может повышать себе привилегии в системе, считывать закрытую информацию или организовать отказ системы. Уязвимости подвержены 32- и 64-разрядные версии утилиты Intel Processor Diagnostic более старые, чем версия 4.1.2.24.

Уязвимость в прошивке SSD DC S4500/S4600 менее опасная и оценена в 5,3 балла из 10. Данная уязвимость (CVE-2018-18095) открывает доступ только к техническим данным накопителей и только при прямом доступе к «железу». Эта уязвимость исправлена с выпуском прошивки версии SCV10150. Как и в случае с уязвимостью в утилите для диагностики, уязвимость в прошивках SSD стала возможной из-за пренебрежения правилами безопасной аутентификации. Остаётся только поражаться беспечности ответственных сотрудников Intel и наблюдать за парадом выявляемых «дыр». Впрочем, это ещё к другим не присматривались на должном уровне. Удивительное будет происходить сплошь и рядом.