Спецпроекты

Intel закрыл 8 «дыр» в своем ПО

Безопасность Администратору Пользователю Техника
Intel устранил восемь различных уязвимостей в своих программных разработках. Самые серьёзные «баги» позволяют повышать привилегии в атакуемой системе, но лишь при условии локального доступа.

Утилиты и привилегии

Корпорация Intel исправила восемь уязвимостей в своём программном обеспечении. Одна из них удостоилась отдельного бюллетеня, поскольку её успешная эксплуатация позволяет повысить системные привилегии атакующего.

Уязвимость CVE-2019-11163 обнаружена в утилите Intel Processor Identification Utility под Windows. Это бесплатная программа для уточнения технических характеристик процессора.

Проблема заключается в недостаточной проверке доступа в драйвере аппаратной абстракции в версиях до 6.1.0731. В результате неавторизованный в системе пользователь при наличии локального доступа мог повысить свои привилегии, выводить некоторые данные или вызывать отказ системы.

intelintelintel600.jpg
Intel важно показать, что ни одна уязвимость не обойдена вниманием

«Баг» получил 8,2 баллов по десятибалльной шкале угроз CVSS. Пользователям рекомендуется обновиться как можно скорее.

Требуется локальный доступ

Ещё одна опасная уязвимость устранена в компоненте Computing Improvement Program, утилите, предназначенной для сбора пользовательской статистики для дальнейшего улучшения разработок Intel.

Уязвимость CVE-2019-11162 в слое аппаратной абстракции в драйвере SEMA в случае успешной эксплуатации может иметь такой же эффект, что и предыдущая уязвимость. Опять же, потребуется локальный доступ. Приложение также рекомендуется оперативно обновить.

Наконец, ещё одна уязвимость выявлена в системной прошивке мини-ПК Intel NUC (Next Unit of Computing). Уязвимость CVE-2019-11140, получившая 7,5 баллов по шкале угроз CVSS, проистекает из недостаточности проверки текущей сессии. В результате становится возможным повышение привилегий, утечка данных или DoS-атака. Правда, с существенной оговоркой: злоумышленнику потребуется не только локальный доступ, но и наличие определённых привилегий в локальной системе.

«Учитывая количество критических уязвимостей, выявленных с начала года в разработках Intel, компания на данный момент «дует на воду», - считает Анастасия Мельникова. - Новые «баги» несравнимо менее опасны, чем Spectre, Meltdown и их разновидности, но Intel важно показать, что ни одна уязвимость не обойдена вниманием. В любом случае, любые патчи от производителей необходимо устанавливать как можно скорее».



Технология месяца

Что нужно знать о развитии СУБД: от «Спутника» до наших дней

Какие задачи решают системы управления базами данных сейчас и какие готовы решать в будущем?

Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»