Chez Intel aussi, les développeurs doivent combler des lacunes de sécurité – lors du Patchday de février, le groupe a mis en ligne 24 messages de sécurité concernant des erreurs dans ses propres produits. Les messages traitent 76 CVE correspondant à des failles concrètes. Trois alertes se distinguent, qui concernent des vulnérabilités à haut risque.
Sommaire
Micrologiciel à trous
Comment les pirates pourraient-ils BIOS pour de nombreux processeurs étend ses droits, provoque un déni de service ou recherche des informations sans autorisation à travers 16 bugs différents. Plusieurs de ces failles ont été classées par le fabricant dans la catégorie des « failles de sécurité ». élevé le CVSS va jusqu’à 8.2. Dans le message de sécurité, Intel dresse la liste des séries de processeurs concernées.
Également disponible en tant que haute risque (CVSS 7.6), le fabricant de processeurs a identifié une faille dans le système d’exploitation. Technologie de gestion active (AMT) SDK, dans la Logiciel de configuration et d’installation (SCS) ainsi que dans les Management Engine BIOS eXtensions (MEBx) a été introduite. Les attaquants pourraient ainsi étendre leurs droits dans le système. Les chipsets, les systèmes sur puce et les processeurs concernés se trouvent comme d’habitude dans l’avis de sécurité d’Intel.
Aussi dans la Firmware du chipset pour Intels Services de plate-forme de serveur (SPS), le Technologie de gestion active (AMT) et la Contrôleur de gestion de l’énergie (PMC) présente des failles de sécurité qui permettent aux utilisateurs d’étendre leurs droits ou d’effectuer un déni de service sur le système. Parmi les trois vulnérabilités répertoriées dans le Security Advisory d’Intel, l’une atteint la valeur CVSS 7.3ce qui représente un risque élevé. Les CPU, SOC et chipsets concrètement concernés sont énumérés dans le message de sécurité.
Intel a publié deux autres avertissements concernant des produits qui ne sont plus supportés (Product Discontinuation notice). Il s’agit d’une part du projet open source Kernelflingerdans lequel une vulnérabilité permet à un attaquant d’étendre ses privilèges (CVE-2021-33137, CVSS 7.8, haut). De plus, une faille dans la RXT pour Chromebook-(CVE-2021-33166, CVSS 4.4, moyen).
Intel fournit un aperçu de tous les bulletins de sécurité sur une page de collecte des messages de sécurité.
Mises à jour disponibles, mais …
Intel a mis à disposition des micrologiciels et des logiciels mis à jour qui comblent les failles de sécurité. Toutefois, les micrologiciels doivent d’abord être coulés dans le BIOS par les fabricants de cartes mères ou d’ordinateurs, puis distribués aux utilisateurs. La solution pour les logiciels qui ne sont plus pris en charge est très simple selon Intel : ne plus utiliser les programmes le plus rapidement possible et les désinstaller.
Ce n’est que récemment qu’Intel a publié ses statistiques annuelles pour 2021. Il en ressort que l’entreprise a colmaté plus de 200 failles au cours de cette année. En outre, les vulnérabilités du BIOS semblent être plus fréquentes. Le fabricant Insyde H2O a également publié récemment des micrologiciels actualisés – de nombreuses grandes entreprises comme Bull Atos, Dell, Fujitsu, HP, HPE, Intel, Lenovo, Microsoft et Siemens misent sur son framework UEFI-BIOS.