Se han encontrado dos vulnerabilidades
en SGX de Intel, una de criticidad alta y otra de criticidad media. Estas
vulnerabilidades podrían permitir a un usuario local el acceso a información no
autorizada, la elevación de privilegios y la ejecución de código arbitrario,
catalogadas de Importancia: 4 - Alta
Recursos
afectados:
Productos desarrollados con el kit de
desarrollo (SDK) Intel Softwar Guard Extensions (SGX):
- Versiones 2.12 y anteriores para Linux.
- Versiones 1.9.6 y anteriores para Windows.
- Intel Software Extension Platform Software Component
en versiones 1.9.105.42329 y anteriores
Recomendación
Intel ha puesto a disposición de los
usuarios diversas medidas para solucionar las vulnerabilidades según las
necesidades:
Actualizar SGX SDK:
- Para sistemas operativos Linux con la versión 2.1.2
aplicar el parche de seguridad. https://01.org/intel-software-guard-extensions/downloads
- Para sistemas operativos Windows con la versión
1.9.6 aplicar el parche de seguridad. https://registrationcenter.intel.com/en/forms/?productid=2614
Los desarrolladores deberán recompilar
y reeditar sus enclaves (regiones de memoria privada) tras la aplicar el parche
de seguridad.
Si los desarrolladores han empleado
los atributos "string" y/o
"sizefunc" en la interfaz de sus enclaves, deberán revisar la guía
técnica y determinar cuales deben recompilar
tras la actualización.
- Información adicional desde https://software.intel.com/sites/default/files/managed/e1/ec/180309_SGX_SDK_Developer_Guidance_Edger8r.pdf
Detalle
de vulnerabilidades
La vulnerabilidad de criticidad alta
podría permitir la elevación de privilegios a un usuario local y la ejecución
arbitraria de código como administrador. Se ha reservado el identificador
CVE-2018-5736 para esta vulnerabilidad.
Más
información
Intel® SGX SDK Edger8r and Intel®
Software Guard Extensions Platform Software Component https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00117&languageid=en-fr
Fuente: INCIBE