Rechercher sur TLD Google
Favoris   Démarrage   Envoyer   Imprimer   Moteur TLD   RSS


Accueil > Actualités > Intel dévoile une dizaine de vulnérabilités de plus dans ses produits

Intel dévoile une dizaine de vulnérabilités de plus dans ses produits

Depuis la découverte en 2017 de plusieurs failles de sécurité critiques touchant la technologie AMT et le firmware Management Engine ou plus récemment des failles Meltdown et Spectre dans les processeurs eux-mêmes, Intel semble avoir véritablement pris conscience de l'importance de renforcer la sécurité de ses produits.

Un programme de récompenses a même été mis en place afin d'encourager les chercheurs à s'intéresser au sujet et désormais il ne se passe plus un mois sans qu'Intel annonce la découverte de nouvelles vulnérabilités dans ses applications, pilotes, firmwares, et composants matériels.

Cette semaine, ce sont pas moins de treize bulletins de sécurité supplémentaires qui ont été dévoilés. Nous ne pourrons bien sûr pas les aborder tous en détails mais voici ci-dessous un récapitulatif de ces nouvelles vulnérabilités. Plusieurs d'entre elles affectent les plateformes Intel Core grand public alors que d'autres sont limitées aux plateformes professionnelles Xeon. Dans la plupart des cas, la correction des vulnérabilités nécessite la mise à jour du BIOS/UEFI par le constructeur de la carte mère...

Gestion non sécurisée des mots de passe du BIOS et de l'AMT

  • Bulletin : INTEL-SA-00160
  • Faille : CVE-2017-5704
  • Risque : Important
  • Score CVSS : 7,2
  • Impact : Divulgation d'information
  • Description : Un utilisateur local possédant les privilèges administrateur peut accéder aux mots de passe du BIOS et de l'AMT stockés en mémoire.
  • Produits concernés : Processeurs Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake)
  • Correctif proposé : Mise à jour du BIOS et du firmware ME proposée par les OEM.

EDK II non couvert par la protection SMM

  • Bulletin : INTEL-SA-00159
  • Faille : CVE-2018-3614
  • Risque : Important
  • Score CVSS : 8,2
  • Impact : Divulgation d'information, élévation de privilèges
  • Description : Le mécanisme de protection System Management Mode (SMM) ne vérifie pas certaines portions de mémoire utilisées par l'outil de développement EDK II.
  • Produits concernés : Firmwares basés sur Tianocore (MdePkg, UefiCpuPkg, MdeModulePkg)
  • Correctif proposé : Mise à jour du firmware Tianocore .

Traitement non sécurisé de certaines variables UEFI

  • Bulletin : INTEL-SA-00158
  • Faille :
  • Risque : Modéré
  • Score CVSS : 6,1
  • Impact : Elévation de privilèges
  • Description : Une manipulation non sécurisée des variables UEFI permet à un assaillant local de désactiver certaines fonctionnalités de sécurité de la plateforme.
  • Produits concernés : Processeurs Xeon E5 v3, Xeon E5 v4, Xeon Scalable
  • Correctif proposé : Mise à jour du BIOS proposée par les OEM.

Quartus Prime Pro

  • Bulletin : INTEL-SA-00157
  • Faille : CVE-2016-9964
  • Risque : Modéré
  • Score CVSS :
  • Impact : Déni de service (DoS)
  • Description : Vulnérabilité du composant open source bottle.py lorsqu'il est activé.
  • Produits concernés : Application Quartus Prime Pro
  • Correctif proposé : Installation de la version 18.0.1.

Contournement de l'authentification du firmware

  • Bulletin : INTEL-SA-00152
  • Faille :
  • Risque : Important
  • Score CVSS : 7,6
  • Impact : Elévation de privilèges
  • Description : Une erreur logique dans les processeurs affectés permet à un assaillant physique d'exploiter un contrôle incorrect du TPM sur le firmware système.
  • Produits concernés : Processeurs Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake)
  • Correctif proposé : Mise à jour du BIOS proposée par les OEM.

Chemins non protégés dans les outils Quartus

  • Bulletin : INTEL-SA-00151
  • Faille : CVE-2018-3683, CVE-2018-3684, CVE-2018-3687, CVE-2018-3688
  • Risque : Modéré
  • Score CVSS :
  • Impact : Elévation de privilèges
  • Description : Les logiciels Quartus font appel à un chemin qui n'est pas protégé par des guillemets.
  • Produits concernés : Applications Quartus II 11.0 - 15.0, Quartus Prime 15.1 - 18.0, Quartus II Programmer and Tools 11.0 - 15.0, Quartus Prime Programmer and Tools 15.1 - 18.0
  • Correctif proposé : Installation du patch ou de la dernière version 18.1 de Quartus.

Vérification insuffisante des entrées dans VTune Amplifier

  • Bulletin : INTEL-SA-00132
  • Faille :
  • Risque : Modéré
  • Score CVSS : 4,6
  • Impact : Déni de service (DoS)
  • Description : La vérification insuffisante des entrées par les logiciels affectés permet à un utilisateur non autorisé de déclencher une attaque par déni de service.
  • Produits concernés : Applications VTune Amplifier, Advisor, Inspector
  • Correctif proposé : Mise à jour des applications en version 2018 Update 3.

Vulnérabilité dans le firmware BMC

  • Bulletin : INTEL-SA-00130
  • Faille : CVE-2018-3651
  • Risque : Important
  • Score CVSS : 8,2
  • Impact : Déni de service (DoS)
  • Description : Le firmware BMC autorise un assaillant avec les privilèges administrateur à accéder au SMBus en lecture et en écriture.
  • Produits concernés : Cartes mères Server Board, Compute Modules, Server System
  • Correctif proposé : Mise à jour du BIOS.

Validation insuffisante des entrées dans IDP

  • Bulletin : INTEL-SA-00129
  • Faille : CVE-2018-7753
  • Risque : Elevé
  • Score CVSS : 8,4
  • Impact : Déni de service (DoS)
  • Description : Le module Bleach dans l'Intel Distribution for Python (IDP) version IDP 2018 Update 2 ne valide pas correctement les entrées et autorise un utilisateur non autorisé à déclencher une attaque par déni de service.
  • Produits concernés : Application Distribution for Python versions IDP 2018 Update 2
  • Correctif proposé : Mise à jour du module Bleach en version IDP 2018 Update 3.

Faille dans le firmware CSME 11.x

  • Bulletin : INTEL-SA-00118
  • Faille : CVE-2018-3627
  • Risque : Important
  • Score CVSS : 7,5
  • Impact : Elévation de privilèges
  • Description : Une vulnérabilité dans le firmware Converged Security Management Engine (CSME) 11.x permet d'exécuter du code arbitraire.
  • Produits concernés : Processeurs Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Xeon E3-1200 v5, Xeon E3-1200 v6, Xeon W
  • Correctif proposé : Mise à jour du firmware CSME en version 11.8.50.

Chiffrement non fonctionnel avec Optane Memory

  • Bulletin : INTEL-SA-00114
  • Faille : CVE-2018-3619
  • Risque : Modéré
  • Score CVSS : 5,3
  • Impact : Divulgation d'information
  • Description : Le chiffrement d'un support de stockage peut être contourné et une partie des données dérobées lorsqu'un module de mémoire Optane Memory est utilisé.
  • Produits concernés : Processeurs Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Core X, Xeon E, Optane Memory
  • Correctif proposé : Utilisation du service Microsoft BitLocker au lieu d'un logiciel tiers et activation de BitLocker avant la configuration de la mémoire Optane.

Mise à jour de sécurité cumulative pour l'Active Management Technology 9.x/10.x/11.x

  • Bulletin : INTEL-SA-00112
  • Faille : CVE-2018-3628, CVE-2018-3629, CVE-2018-3632
  • Risque : Important
  • Score CVSS : 6,4, 7,5, 8,1
  • Impact : Elévation de privilèges
  • Description : De nouvelles vulnérabilités ont été découvertes au niveau de la technologie AMT et du firmware Converged Security Management Engine (CSME).
  • Produits concernés : Processeurs Core 2 Duo vPro, Core 1st Gen (Arrandale/Clarkdale), Core 2nd Gen (Sandy Bridge), Core 3rd Gen (Ivy Bridge), Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Xeon E3-1200 v5, Xeon E3-1200 v6, Xeon Scalable, Xeon W
  • Correctif proposé : Mise à jour du firmware CSME.

Mise à jour de la stratégie Direct Connect Interface (DCI)

  • Bulletin : INTEL-SA-00127
  • Faille : CVE-2018-3652
  • Risque : Important
  • Score CVSS :
  • Impact : Elévation de privilèges
  • Description : Des restrictions dans certains réglages UEFI permettent à un assaillant physique d'accéder à des données sensibles de la plateforme.
  • Produits concernés : Processeurs Xeon E3 v5 (Skylake), Xeon E3 v6 (Kaby Lake), Xeon D (Skylake-D), Xeon Scalable (Purley), Atom C (Denverton)
  • Correctif proposé : Désactivation du contrôle DCI dans le code source C.

Actualité publiée par Julien Sambourg le jeudi 12 juillet 2018 à 17:13
Il y a 1 commentaire sur cette actualité
Marque associée : Intel
Catégories associées : Carte mère Processeur Solid-State Drive (SSD)
Flux RSS des actualités TousLesDrivers.com



Actualités relatives
Annonces

Fichiers relatifs
Annonces

Dossiers relatifs
Boîte à outils SanDisk SSD Dashboard
Les Solid-State Drive (SSD) bénéficient régulièrement de mises à jour de leur logiciel interne (firmware) afin d'améliorer leurs performances et leur compatibilité. Pour effectuer cette mise à jour simplement, SanDisk propose l'application SSD Dashboard qui offre également bien d'autres fonctionnalités de maintenance et d'optimisation que nous vous présentons dans ce dossier.

Guide de mise à jour des SSD
Les SSD sont véritablement à l'heure actuelle le meilleur moyen de booster les performances d'un ordinateur. Pourtant, pour profiter au mieux d'un tel matériel, il est souvent nécessaire que son firmware soit mis à jour. Voici un guide qui explique pas à pas comment réaliser cette opération.