Intel
Intel on laialdaselt jahtinud peamiste riistvarakomponentide turvaauke. See kuu näib selgelt pigem muret tekitavat, kuna kiibitootja väidab, et on avastanud mitmetes toodetes ja standardites üle 70 vea, vea ja turvaaugu. Muide, suurema osa vigadest avastas Intel 'sisetestimise' käigus, mõned neist leidsid aga kolmandate osapoolte partnerid ja agentuurid.
Igakuine bülletääni Intel Security Advisory on kõrgelt hinnatud hoidla, mis kirjeldab turvauuringute kogukonna turbevärskendusi, veaparandusteemasid, uusi turvauuringuid ja kaasamistegevusi. Selle kuu turvanõuanne on oluline lihtsalt suure hulga turvaaukude tõttu, mille Intel väidab avastanud regulaarselt kasutatavates arvuti- ja võrgutoodetes. Pole vaja lisada, et suurem osa selle kuu nõuannetest on mõeldud Inteli sisemiselt leitud probleemidele. Need on osa Inteli platvormi värskendamise (IPU) protsessist. Väidetavalt teeb Intel nende värskenduste väljaandmise ettevalmistamiseks ja koordineerimiseks koostööd umbes 300 organisatsiooniga.
https://www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4
Intel avalikustas 77 turvaauke, kuid looduses pole veel kedagi neist ära kasutatud:
Sel kuul on Intelil väidetavalt avalikustas kokku 77 haavatavust mis ulatuvad protsessoritest graafikani ja isegi Ethernet-kontrolleriteni. Kui keelata 10 viga, avastas ülejäänud vead Intel oma sisemise testimise käigus. Kuigi enamik turvavigadest on üsna väikesed, piiratud kohaldamisala ja mõjuga, võivad mõned neist Inteli toodetele märkimisväärset mõju avaldada. Neid on olnud mis puudutab tänavusi avastusi Inteli toodete turvaaukude kohta mis ei saanud mitte ainult mõjutavad turvalisust, kuid mõjutavad ka jõudlust ja töökindlust.
Intel on kinnitanud, et praegu on kõik 77 turvaviga lappimisel või parandamisel. Kuid ühe vea, ametlikult sildiga CVE-2019-0169, raskusaste on CVSS 9,6. Pole vaja mainida, et reitingut üle 9 peetakse kriitiliseks, mis on kõige raskem. Praegu ei paku vea spetsiaalne veebileht üksikasju, mis näitab, et Intel varjab teavet, et tagada turvaaukude kasutuselevõtt ja kasutamine.
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
Ilmselt näib CVE-2019-0169 asuvat Inteli haldusmootoris või mõnes selle alamkomponendis, sealhulgas Intel CSME, mis on Inteli protsessorite eraldiseisev kiip, mida kasutatakse kaughalduseks. Õigesti juurutamise või kasutamise korral võib haavatavus lubada volitamata isikul lubada privileegide laiendamist, kraapida teavet või juurutada teenuse keelamise rünnakuid külgneva juurdepääsu kaudu. Kasutamise peamine piirang on see, et see nõuab füüsilist juurdepääsu võrgule.
Inteli AMT-i alamsüsteemis on veel üks CVSS-reitinguga oluline turvaauk. Ametlikult sildiga CVE-2019-11132 võib viga lubada privilegeeritud kasutajal lubada privileegi eskaleerimist võrgule juurdepääsu kaudu. Mõned teised märkimisväärsed turvasüsteemi nõrkused, millel on Intel kõrge raskusastme reiting, hõlmavad CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 ja CVE-2019-0131.
Canonical teatab #Ubuntu Värskendused Inteli uusimate turvaaukude leevendamiseks https://t.co/12ewhlNRkW kaudu @MariusNestor pic.twitter.com/DDfJriz4QQ
- Softpedia (@Softpedia) 12. november 2019
Viga ‘JCC Erratum’ mõjutab enamikku hiljuti välja antud Inteli protsessoreid:
Turvalisuse haavatavus, nn JCC Erratum, puudutab peamiselt laialdase mõju tõttu. See viga näib olevat olemas enamikus Inteli hiljuti välja antud protsessorites, sealhulgas Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whisky lake, Comet Lake ja Kaby Lake. Muide, erinevalt mõnest varem avastatud puudusest , selle vea saab lahendada püsivara värskendustega. Inteli väitel võib värskenduste rakendamine keskprotsessorite jõudlust pisut halvendada vahemikus 0–4%. Phoronix testis väidetavalt pärast JCC Erratumi leevenduste rakendamist negatiivse jõudluse mõju ja järeldab, et see värskendus mõjutab üldisemaid arvutikasutajaid kui Inteli varasemad tarkvara leevendused.
Mikroarhitektuuriprotsessorite haavatavused, nagu Spectre ja Meltdown, olid halvad, kuid vähemalt parandas Intel need kiiresti. Nüüd näib, et Inteli ränis püsis veel üks sügavalt juurdunud kiibiviga rohkem kui aasta pärast seda, kui ettevõtet selle eest hoiatati. https://t.co/VMVeMpLJKg
- Andy Greenberg (@a_greenberg) 12. november 2019
Intel on taganud, et avastatud turvanõrkustele tuginevaid reaalses maailmas toimunud rünnakuid pole olnud. Muide, Intelil on väidetavalt muutis äärmiselt keeruliseks täpselt välja selgitada, millised protsessorid on ohutud või mõjutatud.
Sildid Intel
