Se han encontrado dos
vulnerabilidades en SGX de Intel, una de criticidad alta y otra de criticidad
media. Estas vulnerabilidades podrían permitir a un usuario local el acceso a
información no autorizada, la elevación de privilegios y la ejecución de código
arbitrario.
Detalle de vulnerabilidades
La vulnerabilidad de
criticidad alta podría permitir la elevación de privilegios a un usuario local
y la ejecución arbitraria de código como administrador. Se ha reservado el
identificador CVE-2018-5736 para esta vulnerabilidad.
Recursos afectados:
Productos
desarrollados con el kit de desarrollo (SDK) Intel Softwar Guard Extensions (SGX):
- Versiones 2.12 y
anteriores para Linux.
- Versiones 1.9.6
y anteriores para Windows.
- Intel Software
Extension Platform Software Component en versiones 1.9.105.42329 y
anteriores
Recomendación
Intel ha puesto a
disposición de los usuarios diversas medidas para solucionar las
vulnerabilidades según las necesidades:
1.
Actualizar
SGX SDK:
1.1.
Para
sistemas operativos Linux con la versión 2.1.2 aplicar el parche de seguridad. https://01.org/intel-software-guard-extensions/downloads
1.2.
Para
sistemas operativos Windows con la versión 1.9.6 aplicar el parche de
seguridad. https://registrationcenter.intel.com/en/forms/?productid=2614
2.
Los
desarrolladores deberán recompilar y reeditar sus enclaves (regiones de memoria
privada) tras la aplicar el parche de seguridad.
Si los
desarrolladores han empleado los atributos "string" y/o "sizefunc" en la interfaz de
sus enclaves, deberán revisar la guía técnica y determinar cuales deben recompilar tras la
actualización.
Información adicional en el siguiente
whitepaper. https://software.intel.com/sites/default/files/managed/e1/ec/180309_SGX_SDK_Developer_Guidance_Edger8r.pdf
Más información
- Intel® SGX SDK Edger8r and Intel® Software Guard
Extensions Platform Software Component https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00117&languageid=en-fr
Fuente: Hispasec
