Se han publicado dos
vulnerabilidades, una de ellas de severidad alta, que podrían permitir a un
atacante el cálculo de la clave secreta RSA o la ejecución de código con
privilegios elevados en los productos afectados, cataloagadas de Importancia: 4 - Alta
Recursos afectados:
- Nombre en clave:
Dawson Canyon, nombre de modelo: NUC7i3DN NUC7i5DN
- Nombre en clave:
Maple Canyon, nombre de modelo: NUC5i3MY y NUC5i5MY
- Plataformas
Mobile, Desktop, Server, Workstation y Embedded basadas en procesadores
Intel® Core™ y Atom™ con un procesador gráfico que use un controlador
identificado.
Recomendación
Para la vulnerabilidad del uso del algoritmo "Fast
Prime":
- En el siguiente
el sitio puede ver detalles sobre los parches de Microsoft que solucionan
esta vulnerabilidad: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012
.
- Si se requiriera
una actualización de firmware del producto afectado, puede visitar el
siguiente sitio `para obtener asistencia: https://www.intel.com/content/www/us/en/support.html
.
Para la vulnerabilidad de ruta de búsqueda no confiable:
- Actualice los
controladores de su dispositivo gráfico afectado a la última versión desde
http://intel.com/
Detalle de vulnerabilidades:
Varios investigadores
de la Universidad Masaryk en la República Checa, han desarrollado recientemente
una metodología que permite analizar y explotar vulnerabilidades en algoritmos
de aceleración de selección de números primos. Actualmente, un atacante que
usara dicha metodología podría obtener una clave RSA de 2048 bits con un
esfuerzo de 50 CPU-años de media. Se ha reservado el identificador
CVE-2017-15361 para este aviso.
Un atacante podría
explotar la vulnerabilidad de ruta de búsqueda no confiable, pudiendo llegar a
ejecutar código con privilegios elevados. Se ha reservado el identificador
CVE-2017-5696 para esta vulnerabilidad.
Más información
- Intel® NUC Kit with Infineon Trusted Platform Module
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00104&languageid=en-fr
- Background Information on software update of RSA key
generation function https://www.infineon.com/cms/en/product/promopages/rsa-update/rsa-background
- Untrusted search path in Intel Graphics Driver
allows unprivileged user to elevate privileges via local Access https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00080&languageid=en-fr
Fuente:INCIBE