Intel a corrigé 9 failles dans sa mise à jour d’Avril 2020

Intel a corrigé des failles importantes dans son micrologiciel Next Unit Computing (NUC) et dans son module de calcul MFS2600KISPP.

En tout, la compagnie américaine a corrigé neuf vulnérabilités dans six produits dans sa mise à jour de sécurité d’Avril 2020. Deux de ces failles étaient de gravité élevée et les autres de gravité moyenne. Si elles étaient exploitées, ces failles pourraient permettre aux pirates d’augmenter des privilèges ou de lancer des attaques de déni de service (DoS).

Intel ordonne la cessation du module MFS2600KISPP

L’une des failles de haute gravité provient d’un module de calcul (MFS2600KISPP) utilisé dans le système de serveur modulaire d’Intel, qui est un système pour les cartes mères et les processeurs Intel introduit pour la première fois en 2008. La vulnérabilité est causé par une vérification des conditions incorrectes, qui pourrait permettre à un utilisateur non authentifié de potentiellement activer l’élévation de privilèges (via un accès adjacent). La faille (CVE-2020-0578) a une note de 7,1 sur 10 sur l’échelle de gravité CVSS.

En plus de cette faille, deux failles de gravité moyenne ont également été découvertes dans le même module de calcul: une vulnérabilité de dépassement de tampon (CVE-2020-0576) qui pourrait permettre à un individu non authentifié de lancer une attaque de déni de service (via un accès adjacent) et un problème de flux de contrôle insuffisant (CVE-2020-0577) qui permet à un utilisateur non authentifié d’élever potentiellement ses privilèges via un accès adjacent.

Toutes les versions du module de calcul MFS2600KISPP sont affectées, mais le géant américain a déclaré qu’il ne distribuera pas de mises à jour de sécurité pour atténuer ces failles, à la place, ils mettront complètement fin au module de calcul MFS2600KISPP.

“Intel a publié un avis de cessation de produit pour le module de calcul Intel Modular Server MFS2600KISPP et recommande aux utilisateurs du module de calcul Intel Modular Server MFS2600KISPP de cesser leur utilisation dans les plus brefs délais”, selon le communiqué d’Intel.

intel

Sur une note connexe, la firme américaine a également révélé un problème d’autorisations par défaut incorrect dans le programme d’installation de ses versions 3.3 et antérieures de son Data Migration Software, qui pourrait permettre à un utilisateur authentifié d’activer une élévation de privilèges via un accès local. Plutôt que de publier des correctifs, Intel a déclaré qu’ils mettront également fin à ce produit, qui est utilisé pour transférer des données entre les disques SSD.

Les patchs de sécurité d’Avril 2020

Pendant ce temps, une faille très grave dans le NUC d’Intel (CVE-2020-0600) pourrait permettre aux utilisateurs d’accéder à des privilèges élevés, s’ils ont un accès local et sont authentifiés. La faille est causée par des restrictions de tampon incorrectes dans le firmware du NUC.

Vous trouverez ci-dessous une liste des produits NUC concernés:

Intel

Intel a également corrigé des failles de gravité moyenne dans son logiciel de Wi-Fi PROSet/Wireless, qui permet aux appareils Intel sans-fil ou Wi-Fi de fonctionner correctement. Les vulnérabilités pourraient conférer à un attaquant authentifié des privilèges accrus via un accès local (CVE-2020-0557) ou permettre à un utilisateur non privilégié de lancer une attaque de déni de service via un accès adjacent (CVE-2020-0558).

Une autre faille de gravité moyenne (CVE-2020-0568) dans le pilote d’Intel et l’assistant de support (qui maintient les systèmes à jour en cherchant les mises à jour disponibles) rend possible les attaques de déni de service lancées par un utilisateur authentifié avec un accès local. De plus, un problème de chemin de recherche (CVE-2020-0598) dans le programme d’installation de l’outil de configuration binaire d’Intel sur Windows pourrait également donner un privilège accru à un utilisateur local authentifié. L’outil de configuration binaire d’Intel est un utilitaire utilisé pour modifier les paramètres de configuration intégrés dans un package de prise en charge du micrologiciel Intel.

Les mises à jour de sécurité surviennent après des mises à jour d’Intel du mois de Mars 2020, où le fabricant de puces a distribué des correctifs de sécurité pour six vulnérabilités de haute gravité dans ses pilotes graphiques Windows. Si elles sont exploitées, ces failles de sécurité pourraient permettre une élévation de privilèges, un déni de service et la divulgation d’informations.

En résumé pour ce mois d’Avril 2020, Microsoft a publié 115 correctifs dans son Patch Tuesday, Oracle a corrigé 405 failles de sécurité et Adobe a patché seulement 5 failles.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x