اینتل آسیب‌پذیری‌های جدی در ابزار Diagnostic پردازنده‌ی خود را وصله می‌کند

براساس گزارش‌های منتشرشده در تاریخ ۱۰ ژوئیه، شرکت اینتل با انتشار به‌روزرسانی‌های امنیتی ماه ژوئیه‌ی سال ۲۰۱۹ میلادی، یک آسیب‌پذیری جدی در ابزار تشخیص پردازنده (Processor Diagnostic Tool) این شرکت و یک آسیب‌پذیری دیگر در درایوهای حالت جامد (SSD) برای محصول داده‌ی مرکز (DC) خود را وصله کرده است.

آسیب‌پذیری اول که نرم‌افزار ابزار Diagnostic  پردازنده‌ی اینتل را تحت تأثیر قرار می‌دهد، با شناسه‌ی CVE-2019-11133 ردیابی شده و در سیستم ارزیابی آسیب‌پذیری‌ها، با دریافت امتیاز ۸٫۲ به‌عنوان یک آسیب‌پذیری «با شدت بالا» رتبه‌بندی شده است. به گفته‌ی این غول فناوری، درصورت دسترسی به سیستمی که این ابزار بر روی آن درحال اجرا است، مهاجم می‌تواند آسیب‌پذیری مذکور را با هدف افزایش امتیازها، به‌دست آوردن اطلاعات یا راه‌اندازی شرایط منع سرویس (DoS) مورد بهره‌برداری قرار دهد. این حفره‌ی امنیتی که توسط یکی از محققان شرکت امنیتی Eclypsium به اینتل گزارش شده بود، با انتشار نسخه‌ی ۴٫۱٫۲٫۲۴ نرم‌افزار ابزار Diagnostic  پردازنده وصله شد. نسخه‌های پیشین این نرم‌افزار در هر دو سیستم ۳۲ و ۶۴ بیتی تحت تأثیر این آسیب‌پذیری قرار داشتند.

آسیب‌پذیری دومی که توسط اینتل وصله شده است، بر روی ثابت‌افزارهای سری SSD DC S4500 / S4600 تأثیر گذاشته و می‌تواند با هدف ارتقاء امتیازها مورد بهره‌برداری قرار بگیرد. بااین‌حال، این اشکال به‌عنوان یک آسیب‌پذیری «با شدت متوسط» رتبه‌بندی شده است، زیرا بهره‌برداری از آن نیاز به دسترسی فیزیکی به دستگاه هدف دارد. این آسیب‌پذیری که توسط خود اینتل کشف شده است، نسخه‌های قبل از SCV10150 را تحت تأثیر قرار می‌داد که درحال‌حاضر با انتشار یک وصله توسط اینتل، رفع شده است.

در به‌روزرسانی‌های ماه مِی سال ۲۰۱۹ منتشرشده توسط اینتل، چندین آسیب‌پذیری نمونه‌برداری از داده‌های ریزمعماری (MDS) که بیشتر پردازنده‌های ساخته‌شده در دهه‌ی گذشته را تحت تأثیر قرار می‌دادند، وصله شدند. این اشکال‌ها که توسط محققان اینتل و سایر سازمان‌ها کشف شده بودند، از نوع آسیب‌پذیری‌های اجرای زودهنگام (speculative execution) بوده و با اسامی ZombieLoad، RIDL، Fallout و Forwarding Store-to-Leak نامگذاری شدند.

مهاجمان می‌توانستند این آسیب‌پذیری‌ها را به‌صورت محلی یا از راه دور با هدف دستیابی به برنامه‌های کاربردی، سیستم عامل، ماشین‌های مجازی و محیط‌های اجرای قابل‌اعتماد و به‌منظور دسترسی به اطلاعات حساس مانند رمزهای عبور، محتوای وب‌سایت، کلید رمزنگاری دیسک و تاریخچه‌ی مرورگر، مورد بهره‌برداری قرار دهند. بااین‌حال، شرکت اینتل خاطرنشان می‌کند که راه‌اندازی حملات با بهره‌برداری از این اشکال‌ها در دنیای واقعی آسان نبوده و حتی درصورت بهره‌برداری موفق از آن‌ها، مهاجم هیچ اطلاعات ارزشمندی را به‌دست نخواهد آورد.

منبع

Related posts

Leave a Comment

سه × سه =