Intel patch une faille importante et 5 autres bugs

Intel met en garde contre une faille de sécurité importante dans le micrologiciel de son moteur de gestion et de sécurité (CSME), qui, si elle est exploitée, pourrait permettre une élévation de privilèges, un déni de service et une divulgation d’informations.

CSME gère la technologie matérielle et micro-logicielle du Active Management System d’Intel, ce dernier est utilisé pour la gestion à distance des PC des particuliers ou des entreprises, des appareils IoT (Internet of Things) et des stations de travail.

Le sous-système de CSME a un bug d’authentification incorrect (CVE-2019-14598), qui a un score CVSS de 8,2 sur 10. Un utilisateur privilégié, avec un accès local, pourrait exploiter la faille pour lancer une série d’attaques, selon Intel.

intel cacheout

«Intel recommande de mettre à jour vers les versions Intel CSME 12.0.49, 13.0.21 et 14.0.11 ou des versions ultérieures fournies par le fabricant du système pour résoudre ces problèmes», selon le rapport de la compagnie. «Intel recommande aux clients d’utiliser la version 12.0.55 du CSME pour effectuer la mise à jour vers la version 12.0.56 ou une version ultérieure fournie par le fabricant du système qui résout ces problèmes.»

Ce n’est pas la première faille sérieuse trouvée dans le CSME. En novembre, une faille critique dans CSME avait été corrigée, cette faille permettait une élévation de privilège, un déni de service ou une divulgation d’informations. Une autre faille critique découverte en mai pourrait permettre à un utilisateur authentifié d’activer l’élévation de privilèges sur l’accès au réseau dans CSME.

D’autres failles dans Intel

Au total, Intel a corrigé 6 failles, y compris la faille importante dans le CSME. Les autres vulnérabilités étaient de gravité moyenne et faible.

Une faille de gravité moyenne a été trouvée dans le pilote Renesas Electronics USB 3 fourni dans de nombreuses cartes mères destinées aux processeurs Intel. La faille permet une élévation de privilèges (CVE-2020-0560) et est causée par des autorisations incorrectes dans le programme d’installation. La compagnie américaine a déclaré qu’au lieu de distribuer des mises à jour, elle avait émis un avis d’arrêt de production pour le pilote. Toutes les versions du pilote sont affectées.

intel

«Intel a publié un avis d’interruption de production pour le pilote Renesas Electronics USB 3.0 et recommande aux utilisateurs du pilote Renesas Electronics USB 3.0 de le désinstaller ou de cesser de l’utiliser le plus tôt possible», a déclaré le géant américain.

Il y’a deux failles de gravité moyenne dans les versions de la console Web du RAID, qui permettent aux utilisateurs de configurer les contrôleurs de stockage et les disques durs RAID installés sur un système.

La première est une faille d’élévation de privilèges de gravité moyenne dans la RAID Web Console 3 pour Windows (CVE-2020-0564), qui est causée par des autorisations incorrectes dans le programme d’installation. La seconde se trouve dans la RAID Web Console 2 et est également causée par des autorisations incorrectes dans le programme d’installation (CVE-2020-0562).

Intel a également corrigé une faille de gravité moyenne dans la pile logicielle de la plate-forme Manycore, une série de composants logiciels Intel nécessaires pour exécuter le co-processeur Xeon Phi. La faille (CVE-2020-0563) permet une élévation de privilèges et est causée par des autorisations incorrectes dans le programme d’installation.

Pour finir, une faille de faible gravité a été découverte et corrigée dans le SDK (Kit de Développement Logiciel) Software Guard Extension (SGX), qui, si elle est exploitée, pourrait permettre une élévation de privilèges.

Un début d’année mouvementé pour Intel

En janvier, Intel a mis en garde contre une vulnérabilité très grave dans son outil d’analyse des performances appelé Intel VTune Profiler. Si elle est exploitée, la faille permet à un pirate informatique de lancer une attaque par élévation de privilèges, lui donnant un accès élevé et non autorisé à un système ciblé. En janvier également, le géant américain a dévoilé une nouvelle attaque de type exécution spéculative, baptisée CacheOut, qui pourrait permettre aux hackers de provoquer des brèches de données sur la plupart des processeurs.