Intel は、CVE に登録されている 4 つの脆弱性を修正したファームウェア アップデートをさらにリリースしました。
Chipzilla の 4 月のパッチ ロードには、Intel がセキュリティ上のリスクが高いとみなした 2 つのバグの修正と、先月大学の研究者が報告した投機的実行のバグの修正が含まれています。
CVE-2018-18094は、Intel Media SDKインストーラーにおける権限昇格の脆弱性です。脆弱なマシン上で既にコードを実行している攻撃者は、この脆弱性を悪用することで、ユーザーの介入なしに上位のアクセス権限を取得する可能性があります。Intelは、この脆弱性を発見したのは自社のチームであるとしています。
2つ目の高リスク脆弱性はCVE-2019-0163で、Broadwell U i5 vPro(バージョンMYBDWi5v.86A以前)向けIntel NUCファームウェアのバグです。Intelによると、入力検証の脆弱性により、既にシステムに侵入した攻撃者が権限を昇格させたり、PCをクラッシュさせたり、脆弱なボードから機密情報を抜き出したりすることが可能になる可能性があるとのことです。これもChipzillaのセキュリティチームによって発見され、報告されました。
今週中にパッチ適用は完了したと思っていませんか?Intel搭載のPCやサーバーを使っているなら、そうではありません。
続きを読む
CVE-2019-0162は、Intel仮想メモリマッピングにおけるサイドチャネル情報漏洩の脆弱性で、マーケティング用語の「Spoiler」でよく知られています。その名前が示すように、この脆弱性により、ローカルアクセスを持つ攻撃者がパスワードやセキュリティキーなどのメモリアドレスを推測できる可能性があります。
これはサイドチャネル攻撃のハードウェア脆弱性であるため、単一の修正プログラムはリリースされていません。Intelは、ユーザーと管理者に対し、サイドチャネル脆弱性への対処に関するベストプラクティスを推奨しています。この脆弱性の発見は、ウースター工科大学のSaad Islam氏、Ahmad Moghimi氏、Berk Gulmezoglu氏、Berk Sunar氏からなるチームと、リューベック大学のIda Bruhns氏、Moritz Krebbel氏、Thomas Eisenbarth氏からなるチームに帰属します。
CVE-2019-0158 は、ゲーム開発者が Intel ハードウェア上でグラフィックスを多用する作品をテストし、微調整できるようにするツールである Linux 用グラフィックス パフォーマンス アナライザーで発見された権限昇格の脆弱性です。
このバグにより、攻撃者は脆弱なマシンに高レベルのアクセス権を取得することが可能ですが、Intelはこれを「中」リスクレベルとしています。これは、攻撃を成功させるにはユーザーを騙して攻撃ファイルを開かせる必要があるためです(そのため、CVSSスコアは低く抑えられています)。この件については、Intelの研究員であるマイケル・ヘンリー氏が貢献しました。®
