Intel
Intel ได้ทำการค้นหาช่องโหว่ด้านความปลอดภัยภายในส่วนประกอบฮาร์ดแวร์กระแสหลักอย่างกว้างขวาง ในเดือนนี้ดูเหมือนว่าจะค่อนข้างเกี่ยวข้องอย่างชัดเจนเนื่องจากผู้ผลิตชิปอ้างว่าได้ค้นพบข้อบกพร่องข้อบกพร่องและช่องโหว่ด้านความปลอดภัยมากกว่า 70 รายการภายในผลิตภัณฑ์และมาตรฐานต่างๆ โดยบังเอิญข้อบกพร่องส่วนใหญ่ถูกค้นพบโดย Intel ระหว่าง 'การทดสอบภายใน' ในขณะที่พาร์ทเนอร์และหน่วยงานบุคคลที่สามพบข้อบกพร่องบางส่วน
Intel Security Advisory ซึ่งเป็นกระดานข่าวรายเดือนเป็นที่เก็บข้อมูลที่ได้รับการยกย่องอย่างสูงซึ่งบันทึกการอัปเดตด้านความปลอดภัยหัวข้อการให้รางวัลบั๊กการวิจัยด้านความปลอดภัยใหม่และกิจกรรมการมีส่วนร่วมภายในชุมชนการวิจัยด้านความปลอดภัย คำแนะนำด้านความปลอดภัยของเดือนนี้มีความสำคัญเนื่องจากมีช่องโหว่ด้านความปลอดภัยจำนวนมากที่ Intel อ้างว่าได้ค้นพบภายในผลิตภัณฑ์คอมพิวเตอร์และระบบเครือข่ายที่ใช้เป็นประจำ ไม่จำเป็นต้องเพิ่มคำแนะนำจำนวนมากในเดือนนี้มีไว้สำหรับปัญหาที่พบภายในโดย Intel เป็นส่วนหนึ่งของกระบวนการ Intel Platform Update (IPU) มีรายงานว่า Intel ทำงานร่วมกับองค์กรประมาณ 300 แห่งเพื่อจัดเตรียมและประสานงานการเปิดตัวการอัปเดตเหล่านี้
https://www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4
Intel เปิดเผยช่องโหว่ด้านความปลอดภัย 77 ช่อง แต่ยังไม่มีใครถูกเอาเปรียบในป่า:
เดือนนี้ Intel มี มีรายงานเปิดเผยช่องโหว่ทั้งหมด 77 ช่อง ซึ่งมีตั้งแต่โปรเซสเซอร์กราฟิกและแม้แต่อีเธอร์เน็ตคอนโทรลเลอร์ ยกเว้นข้อบกพร่อง 10 ข้อข้อบกพร่องที่เหลือถูกค้นพบโดย Intel ในระหว่างการทดสอบภายในของตัวเอง แม้ว่าข้อบกพร่องด้านความปลอดภัยส่วนใหญ่จะค่อนข้างเล็กน้อย แต่ด้วยขอบเขตการบังคับใช้และผลกระทบที่ จำกัด แต่บางส่วนอาจมีผลกระทบอย่างชัดเจนต่อผลิตภัณฑ์ของ Intel มีมาบ้างแล้ว เกี่ยวกับการค้นพบในปีนี้เกี่ยวกับช่องโหว่ด้านความปลอดภัยภายในผลิตภัณฑ์ของ Intel ซึ่งไม่เพียง ส่งผลกระทบต่อความปลอดภัย แต่ยังส่งผลต่อประสิทธิภาพและความน่าเชื่อถือ
Intel ได้รับรองว่าอยู่ระหว่างการแพทช์หรือแก้ไขข้อบกพร่องด้านความปลอดภัยทั้ง 77 ข้อ อย่างไรก็ตามหนึ่งในข้อบกพร่องที่ติดแท็กอย่างเป็นทางการเป็น CVE-2019-0169 มีระดับความรุนแรง CVSS 9.6 ไม่จำเป็นต้องพูดถึงการให้คะแนนที่สูงกว่า 9 ถือว่าเป็นระดับ 'วิกฤต' ซึ่งเป็นระดับความรุนแรงสูงสุด ขณะนี้หน้าเว็บเฉพาะสำหรับข้อบกพร่องไม่ได้ให้รายละเอียดใด ๆ ซึ่งบ่งชี้ว่า Intel กำลังระงับข้อมูลเพื่อให้แน่ใจว่าช่องโหว่ด้านความปลอดภัยไม่สามารถนำมาใช้และใช้ประโยชน์ได้
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
เห็นได้ชัดว่า CVE-2019-0169 ดูเหมือนจะอยู่ใน Intel Management Engine หรือหนึ่งในองค์ประกอบย่อยรวมถึง Intel CSME ซึ่งเป็นชิปแบบสแตนด์อโลนบน CPU ของ Intel ที่ใช้สำหรับการจัดการระยะไกล หากนำไปใช้งานหรือใช้ประโยชน์อย่างถูกต้องช่องโหว่นี้อาจทำให้บุคคลที่ไม่ได้รับอนุญาตสามารถเปิดใช้งานการยกระดับสิทธิ์ขูดข้อมูลหรือปรับใช้การโจมตีแบบปฏิเสธบริการผ่านการเข้าถึงที่อยู่ติดกัน ข้อ จำกัด ที่สำคัญของการใช้ประโยชน์คือต้องมีการเข้าถึงเครือข่ายทางกายภาพ
ช่องโหว่ด้านความปลอดภัยอีกประการหนึ่งที่มีการจัดอันดับ CVSS 'สำคัญ' มีอยู่ในระบบย่อยของ Intel AMT ติดแท็กอย่างเป็นทางการเป็น CVE-2019-11132 ข้อบกพร่องนี้อาจทำให้ผู้ใช้ที่มีสิทธิพิเศษสามารถเปิดใช้การเพิ่มสิทธิ์ผ่านการเข้าถึงเครือข่ายได้ ช่องโหว่ด้านความปลอดภัยที่โดดเด่นอื่น ๆ ที่มีการจัดอันดับ 'ความรุนแรงสูง' ที่ Intel กล่าวถึง ได้แก่ CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097 และ CVE-2019-0131
ประกาศที่เป็นที่ยอมรับ # อูบุนตู การอัปเดตเพื่อลดช่องโหว่ล่าสุดของ Intel https://t.co/12ewhlNRkW ผ่าน @MariusNestor pic.twitter.com/DDfJriz4QQ
- Softpedia (@Softpedia) 12 พฤศจิกายน 2019
ข้อบกพร่อง 'JCC Erratum' ส่งผลกระทบต่อโปรเซสเซอร์ Intel ส่วนใหญ่ที่เปิดตัวเมื่อเร็ว ๆ นี้:
ช่องโหว่ด้านความปลอดภัยที่เรียกว่า 'JCC Erratum' นั้นค่อนข้างเกี่ยวข้องเนื่องจากผลกระทบในวงกว้าง จุดบกพร่องนี้ ดูเหมือนจะมีอยู่จริง ในโปรเซสเซอร์ส่วนใหญ่ของ Intel ที่เพิ่งเปิดตัว ได้แก่ Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whisky lake, Comet Lake และ Kaby Lake อนึ่ง ซึ่งแตกต่างจากข้อบกพร่องที่พบก่อนหน้านี้ ข้อบกพร่องนี้สามารถแก้ไขได้ด้วยการอัปเดตเฟิร์มแวร์ Intel อ้างว่าใช้การอัปเดตอาจทำให้ประสิทธิภาพของ CPU ลดลงเล็กน้อยระหว่าง 0 ถึง 4% โฟโรนิกซ์ มีรายงานว่าได้ทดสอบผลกระทบด้านประสิทธิภาพเชิงลบหลังจากใช้การลด JCC Erratum และสรุปว่าการอัปเดตนี้จะส่งผลกระทบต่อผู้ใช้พีซีทั่วไปมากกว่าการลดซอฟต์แวร์ก่อนหน้าของ Intel
ช่องโหว่ของหน่วยประมวลผลจุลภาคเช่น Spectre และ Meltdown ไม่ดี แต่อย่างน้อย Intel ก็แก้ไขได้ทันท่วงที ตอนนี้ดูเหมือนอีกข้อบกพร่องของชิปฝังลึกที่แฝงอยู่ในซิลิกอนของ Intel มานานกว่าหนึ่งปีหลังจากที่ บริษัท ได้รับการเตือนเกี่ยวกับเรื่องนี้ https://t.co/VMVeMpLJKg
- แอนดี้กรีนเบิร์ก (@a_greenberg) 12 พฤศจิกายน 2019
Intel รับรองว่าไม่มีการรายงานหรือยืนยันการโจมตีในโลกแห่งความเป็นจริงที่เกิดจากช่องโหว่ด้านความปลอดภัยที่ค้นพบ อนึ่ง Intel มี ตามรายงาน ทำให้ยากมากที่จะค้นหาว่าซีพียูตัวใดปลอดภัยหรือได้รับผลกระทบ
แท็ก intel
