Patchday : Intel améliore HAXM et SGX-SDK

Les avis publiés par Intel à l’occasion du « Patch Tuesday » sont gérables ce mois-ci : il s’agit de deux publications qui traitent au total de trois vulnérabilités de sécurité exploitables localement, avec des notes allant de « moyenne » à « élevée ». Les mises à jour logicielles sont disponibles depuis un certain temps.

La vulnérabilité de sécurité CVE-2021-0186, classée « Haute », affecte le Kit de développement logiciel SGX (SDK) et ici spécifiquement les applications compilées pour les processeurs avec support SGX2. Dans la mesure où de telles applications sont compilées avec SGX-SDK d’Intel jusqu’à la version 2.12 incluse pour Windows ou jusqu’à la version 2.13 incluse pour les systèmes Linux. ils présentent des failles dans la validation des entrées. Ces failles, à leur tour, pourraient être exploitées par un attaquant local pour une escalade de privilèges. Les développeurs doivent se mettre à jour vers des versions plus récentes du SDK (au moins 2.13 pour Windows / 2.14 pour Linux) et recompiler leurs applications à chaque fois.

Deux vulnérabilités de niveau moyen se trouvent dans le Gestionnaire d’exécution accélérée au niveau matériel (HAXM)un hyperviseur utilisé principalement pour accélérer l’émulation Android et les VM QEMU sur Windows et macOS. CVE-2021-0180 et CVE-2021-0182 pourraient permettre à des attaquants locaux non authentifiés d’élever leurs privilèges et de saisir des informations dans certaines conditions. Les personnes vulnérables sont Versions de HAXM antérieures à 7.6.6. Les utilisateurs doivent effectuer une mise à niveau vers au moins la version 7.6.6 si ce n’est pas déjà fait ; la version actuelle est la 7.7.0, qui peut être téléchargée sur GitHub depuis juin 2021.

Deux experts d’Intel expliquent les conseillers d’octobre dans une courte vidéo.

De plus amples détails sur la vulnérabilité peuvent être trouvés dans l’avis HAXM et l’avis SGX SDK d’Intel respectivement.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici