Intel ha identificado
múltiples vulnerabilidades debido a que se ha realizado una revisión de
seguridad en varios de sus productos, motivada por informaciones que
investigadores externos le habían notificado. Se han publicado 10
vulnerabilidades, de las cuales 8 son de severidad alta, catalogadas de Importancia: 4 - Alta
Recursos afectados:
Se encuentran afectados los
sistemas que utilicen:
- Management Engine (ME) Firmware versiones 8.x/9.x/10.x/11.0.x.x/11.5.x.x/11.6.x.x/11.7.x.x/11.10.x.x/11.20.x.x
- Server Platform Services (SPS) Firmware versión 4.0.x.x
- Trusted Execution Engine (TXE) versión 3.0.x.x
- 6th, 7th & 8th Generation Intel® Core™ Processor Family
- Intel® Xeon® Processor E3-1200 v5 & v6 Product Family
- Intel® Xeon® Processor Scalable Family
- Intel® Xeon® Processor W Family
- Intel® Atom® C3000 Processor Family
- Apollo Lake Intel® Atom Processor E3900 series
- Apollo Lake Intel® Pentium™
- Celeron™ N and J series Processors
En los 3 productos afectados
se han detectado dos tipos de vulnerabilidades:
- Desbordamiento de búfer que permitiría al atacante la ejecución de código arbitrario. En algunos casos se podría explotar la vulnerabilidad de manera remota.
- Escalada de privilegios que permitiría a procesos no autorizados mediante vectores no especificados, acceder a recursos que requieren privilegios más elevados.
- Intel ha publicado la herramienta https://downloadcenter.intel.com/download/27150 para detectar si su sistema está afectado por alguna de las vulnerabilidades publicadas en este aviso. Así mismo, Intel recomienda que los sistemas afectados se actualicen a la versión indicada en la tabla Associated CPU Generation / Resolved Firmware version contenida en la página de publicación del aviso https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr .
- Las versiones actualizadas de los productos afectados se pueden encontrar aquí https://downloadcenter.intel.com/
- Intel Q3’17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr