Спецпроекты

В SSD-памяти и ПО Intel жили две солидные «дыры»

3425
Безопасность Администратору Стратегия безопасности Техника

Intel выпустил исправления для двух уязвимостей в своих разработках. Выявленные проблемы не являются критичными, однако киберподразделение Министерства внутренней безопасности США специально выпустило рекомендации по их скорейшей установке.

«Дыра» в памяти Intel на 5 баллов...

Корпорация Intel выпустила обновления для двух своих разработок с целью исправить уязвимости, которые позволяли злоумышленникам повышать привилегии в атакуемой системе, устраивать DDoS-атаки, а также красть конфиденциальную информацию.

Первая уязвимость выявлена в SSD-накопителях, выпускаемых Intel специально для дата-центров, - SSD DC S4500 Series и SSD DC S4600 Series. «Баг» затрагивает все версии их программных оболочек до SCV10150.

В то время как степень угрозы оценивается как средняя (5.3) по шкале CVSS. В теории злоумышленник может использовать её для повышения своих привилегий в целевой системе.

Источником проблемы является ошибка в системе авторизации. Для её эксплуатации, однако, требуется физический доступ к компьютеру.

...и в ПО на 8 баллов

Куда более серьёзной проблемой оказывается баг в диагностической утилите Intel Processor Diagnostic Tool. В случае его успешной эксплуатации злоумышленник также получает повышенные привилегии в системе, а кроме того, может вызвать сбой или вывести из системы информацию, которая не должна быть ему доступна.

intel600.jpg
Intel выпустил исправления для двух уязвимостей в своих разработках

Диагностический пакет предназначен для проверки функциональности процессора Intel и его показателей, таких как частота работы. Инструмент также используется для нагрузочного тестирования стабильности процессора.

Ошибки в средствах контроля доступа в Processor Diagnostic Tool позволяют любому авторизованному в системе пользователю производить вредоносные манипуляции с программой. Уязвимость затрагивает все версии до 4.1.2.24.

Степень угрозы оценена в 8.2 балла. Интересно, что CISA, кибер-подразделение Министерства внутренней безопасности США, выпустило специальные рекомендации для пользователей и системных администраторов как можно скорее произвести установку необходимых обновлений.

Это, впрочем, не означает, что данные уязвимости опаснее, чем об этом свидетельствует оценка CVSS: в соответствующем разделе на сайте CISA публикуются сведения обо всех уязвимостях с уровнем риска выше среднего, затрагивающие популярные программные продукты. Среди последних публикаций, помимо Intel, фигурируют Mozilla, Microsoft и Adobe.

«Переоценить значимость «багов» в разработках Intel будет сложно, даже если непосредственный риск от каждой из них относительно невелик, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Степень угрозы приходится умножать на популярность любой разработки, а продукты Intel - фактически вездесущи. Так что специальное предупреждение со стороны CISA в отношении даже и некритичных уязвимостей выглядит вполне адекватной мерой».



Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей