Угрозы обнаружились в утилите для диагностики процессора и прошивке SSD-накопителей для центров обработки данных.
Разработчики Intel устранили серьезные уязвимости в двух продуктах компании — утилите для диагностики процессора и ПО, управляющем SSD-накопителями корпоративного класса. Баги позволяли взломщикам повышать привилегии в атакуемой системе, читать закрытые данные и вызывать критические ошибки.
Наиболее серьезной оказалась уязвимость Intel Processor Diagnostic — CVE-2019-11133): эксперты оценили ее в 8,2 балла по шкале CVSS 3.0 и присвоили ей высокий уровень угрозы.
Как пояснили специалисты, в утилите обнаружились ошибки организации доступа к техническим данным. Другие детали они предпочли оставить в секрете. Баг актуален для Intel Processor Diagnostic Tool для 32- и 64-битных систем, затронуты оказались версии старше 4.1.2.24.
Основная часть угроз связана именно с этой уязвимостью — вторая дыра, CVE-2018-18095, может привести только к раскрытию технических данных. Воспользоваться ей можно лишь при наличии прямого доступа к оборудованию, поэтому баг получил 5,3 балла по шкале CVSS 3.0 и средний уровень угрозы.
Опасная ситуация происходит из-за отсутствия должной аутентификации в SSD-накопителях Intel для дата-центров серий S4500 и S4600. Небезопасными признаны версии прошивки до SCV10150.
Опубликованные обновления несколько уступают по важности предыдущим патчам Intel. В июне специалисты исправили 24 бага, из них восемь критических. Майский пакет заплаток устранил 34 уязвимости в драйверах, служебных подсистемах и аппаратных прошивках.
Самая серьезная угроза последних полутора лет — уязвимости Spectre и Meltdown: в начале 2018-го эксперты выяснили, что им подвержены все процессоры Intel, выпущенные с 1995 года. Продукция главного конкурента корпорации, компании AMD, также оказалась затронута. Из-за масштаба угрозы эксперты Intel приняли решение оставить часть устаревших чипов без защитных обновлений.