Intel
Malawakang hinahanap ng Intel ang mga kahinaan sa seguridad sa loob ng mga pangunahing sangkap ng hardware. Ang buwang ito ay malinaw na lumilitaw na patungkol sa pag-angkin ng chipmaker na natuklasan ang higit sa 70 mga bug, mga bahid at mga kaluskos sa seguridad sa loob ng maraming mga produkto at pamantayan. Hindi sinasadya, ang karamihan ng mga bug ay natuklasan ng Intel sa panahon ng 'Panloob na Pagsubok', habang ang ilan ay natagpuan ng mga kasosyo at ahensya ng third-party.
Ang Intel Security Advisory, isang buwanang bulletin, ay isang lubos na itinuturing na imbakan na nagtatala ng mga pag-update sa seguridad, mga paksa ng bugay, bagong pananaliksik sa seguridad, at mga aktibidad sa pakikipag-ugnayan sa loob ng komunidad ng pananaliksik sa seguridad. Ang Security Advisory ng buwan na ito ay mahalaga dahil lamang sa maraming bilang ng mga kahinaan sa seguridad na inaangkin ng Intel na natuklasan sa loob ng regular na ginamit na mga produkto ng computing at networking. Hindi na kailangang idagdag, ang karamihan ng mga tagapayo sa buwang ito ay para sa mga isyu na natagpuan sa loob ng Intel. Bahagi sila ng proseso ng Intel Platform Update (IPU). Ang Intel ay iniulat na gumagana sa halos 300 mga samahan upang ihanda at iugnay ang paglabas ng mga pag-update na ito.
https://www.intel.com/content/dam/www/public/us/en/video/corporation-information/ipu2019overview.mp4
Isiniwalat ng Intel ang 77 Mga Kahinaan sa Seguridad Ngunit Wala Na Napagsamantalahan Sa Ligaw:
Ngayong buwan, mayroon ang Intel iniulat na isiniwalat ang isang kabuuang 77 kahinaan saklaw iyon mula sa mga processor hanggang sa graphics at kahit na mga ethernet Controller. Nagbabawal ng 10 mga bug, ang natitirang mga kamalian ay natuklasan ng Intel sa panahon ng sarili nitong panloob na pagsubok. Habang ang karamihan sa mga bahid sa seguridad ay medyo menor de edad, na may isang limitadong saklaw ng kakayahang magamit at epekto, ang ilan ay maaaring magkaroon ng isang pambihirang epekto sa mga produkto ng Intel. Nagkaroon ng ilang patungkol sa mga tuklas sa taong ito tungkol sa mga kahinaan sa seguridad sa loob ng mga produkto ng Intel na hindi lamang epekto sa seguridad ngunit nakakaapekto rin sa pagganap at pagiging maaasahan.
Tiniyak ng Intel na nasa proseso ito ng pag-patch o pag-aayos ng lahat ng 77 mga bahid sa seguridad. Gayunpaman, ang isa sa mga pagkakamali, na opisyal na na-tag bilang CVE-2019-0169, ay may rating ng kalubhaan ng CVSS 9.6. Hindi na banggitin, ang mga rating sa itaas 9 ay itinuturing na 'Kritikal', na kung saan ay ang pinakamataas na kalubhaan. Sa kasalukuyan, ang nakatuon na webpage para sa bug ay hindi nag-aalok ng anumang mga detalye, na nagpapahiwatig na ang Intel ay may hawak na impormasyon upang matiyak na ang kahinaan sa seguridad ay hindi maaaring gamitin at samantalahin.
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
Tila, ang CVE-2019-0169 ay lilitaw na matatagpuan sa Intel Management Engine o isa sa mga subcomponent nito, kabilang ang Intel CSME, na isang standalone chip sa mga Intel CPU na ginagamit para sa remote na pamamahala. Kung wastong ipinakalat o pinagsamantalahan, ang kahinaan ay maaaring payagan ang isang hindi pinahintulutang tao na paganahin ang pagdaragdag ng mga pribilehiyo, i-scrape ang impormasyon o i-deploy ang pagtanggi ng mga pag-atake ng serbisyo sa pamamagitan ng katabing pag-access. Ang pangunahing limitasyon ng pagsasamantala ay nangangailangan ito ng pisikal na pag-access sa network.
Ang isa pang kahinaan sa seguridad na may isang 'Mahalaga' na rating ng CVSS ay mayroon sa subsystem ng Intel AMT. Opisyal na na-tag bilang CVE-2019-11132, ang bug ay maaaring payagan ang isang pribilehiyo ng gumagamit na paganahin ang pagdaragdag ng pribilehiyo sa pamamagitan ng pag-access sa network. Ang ilan sa iba pang mga kapansin-pansin na kahinaan sa seguridad na may rating na 'High Severity' na tinutugunan ng Intel ay kasama ang CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097, at CVE-2019-0131.
Canonical Announces #Ubuntu Mga Update upang mapagaan ang Pinakabagong Mga Kahinaan sa Intel https://t.co/12ewhlNRkW sa pamamagitan ng @MariusNestor pic.twitter.com/DDfJriz4QQ
- Softpedia (@Softpedia) Nobyembre 12, 2019
Mga Bug na Epekto ng 'JCC Erratum' Karamihan sa Mga Proseso ng Intel ay Inilabas Kamakailan:
Ang isang kahinaan sa seguridad, na tinawag na 'JCC Erratum' ay tungkol sa pangunahin dahil sa malawak na epekto. Ang bug na ito lumilitaw na mayroon sa karamihan ng mga inilabas na bagong proseso ng Intel, kabilang ang Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whiskey lake, Comet Lake at Kaby Lake. Hindi sinasadya, hindi tulad ng ilang dating natuklasan na mga bahid , ang bug na ito ay maaaring matugunan sa mga pag-update ng firmware. Inaangkin ng Intel na ang paglalapat ng mga pag-update ay maaaring bahagyang magpapababa ng pagganap ng mga CPU saanman sa pagitan ng 0 at 4%. Phoronix naiulat na sinubukan ang negatibong epekto sa pagganap pagkatapos mailapat ang mga mitigasyon ng JCC Erratum at napagpasyahan na ang pag-update na ito ay makakaapekto sa higit pang mga pangkalahatang gumagamit ng PC kaysa sa nakaraang mga pagpapagaan ng software ng Intel.
Ang mga kahinaan ng microarchitectural processor tulad ng Spectre at Meltdown ay masama, ngunit hindi bababa sa Intel naayos agad sila. Ngayon tila ang isa pang malalim na nakulangan na maliit na maliit na maliit na tilad ay nanatili sa silikon ng Intel nang higit sa isang taon pagkatapos ng babalaan ang kumpanya tungkol dito. https://t.co/VMVeMpLJKg
- Andy Greenberg (@a_greenberg) Nobyembre 12, 2019
Tiniyak ng Intel na walang naiulat o nakumpirmang mga pag-atake sa totoong mundo na batay sa natuklasang mga kahinaan sa seguridad. Hindi sinasadya, mayroon ang Intel naiulat na ginawang mahirap upang alamin kung eksakto kung aling mga CPU ang ligtas o naapektuhan.
Mga tag intel
