Intel advierte sobre fallas críticas de seguridad en el motor CSME, emite avisos de productos descontinuados


Intel tuvo una semana craptacular
Qualcomm planea enfrentarse a Intel en computadoras portátiles, así como en dispositivos IoT y otras áreas. AWS prepara sus propios procesadores Arm para sus instancias en la nube con un mejor precio y rendimiento que las instancias actuales basadas en Intel. Leer más: https://zd.net/2LGCirt

Intel ha advertido sobre una vulnerabilidad crítica en el motor de seguridad CSME y ha instado a los usuarios a aplicar una solución, ahora disponible, lo más rápido posible.

El Intel Converged Security and Management Engine (CSME) es un subsistema de chipset que alimenta las tecnologías de Active Management de Intel.

De acuerdo a un aviso de seguridad publicado el martes, CSME está sujeto a una vulnerabilidad de firmware, encontrada internamente por el equipo de seguridad de Intel, que si se explota permite a los actores de amenazas locales lanzar escalada de privilegios, denegación de servicio y ataques de divulgación de información.

Seguido como CVE-2019-14598, a la vulnerabilidad se le otorgó una puntuación base de CVSS de 8.2, lo que considera que el problema es crítico: la calificación de gravedad más alta.

Intel ha lanzado una actualización de firmware para mitigar la vulnerabilidad, que afecta las versiones de CSME anteriores a 12.0.49 (incluyendo solo IOT: 12.0.56), 13.0.21 y 14.0.11.

"Intel recomienda actualizar a las versiones 12.0.49, 13.0.21 y 14.0.11 de CSME proporcionadas por el fabricante del sistema que aborda estos problemas", dice el gigante tecnológico. "Intel recomienda a los clientes de IOT que utilicen la versión 12.0.55 de CSME para actualizar a 12.0.56 o posterior proporcionada por el fabricante del sistema que aborda estos problemas".

Otro lote de actualizaciones se dirige a problemas de seguridad en la RAID Web Console 2 (RWC2) de Intel y la RAID Web Console 3 (RWC3) para Windows.

Ver también: Informe sugiere que Intel se está preparando para una guerra de precios con AMD

La primera vulnerabilidad, CVE-2020-0562, afecta a todas las versiones de RWC2 y se le ha otorgado una puntuación base de 6.7, clasificando el error como de gravedad media. Los usuarios locales autenticados pueden aprovechar la falla para escalar sus privilegios; sin embargo, Intel no solucionará el problema.

En cambio, Intel dice que el producto será descontinuado y recomienda que los usuarios actualicen a RWC3, el tema de la próxima vulnerabilidad en el aviso de seguridad.

El segundo defecto de seguridad es el mismo con las mismas consecuencias potenciales. Seguido como CVE-2020-0564, la falla de seguridad afecta a RWC3 antes de la versión 7.010.009.000.

La pila de software de la plataforma Manycore de Intel (MPSS), antes de la versión 3.8.6, también recibió una solución para resolver CVE-2020-0563, un problema de gravedad media con una puntuación base de 6.7. La vulnerabilidad puede ser explotada por usuarios no autenticados para permitir la escalada de privilegios a través del acceso local debido al manejo incorrecto de los permisos.

CNET: Proteja la privacidad o pague el precio de la tecnología de consumo, advierte el informe

Un problema de seguridad de gravedad media, CVE-2020-0560, también ha sido señalado por Intel, pero la compañía no emitirá un parche. Este error afecta al controlador Intel Renesas Electronics USB 3.0 y permite la escalada de privilegios en todas las versiones.

"(Intel) recomienda que los usuarios del controlador USB 3.0 Intel Renesas Electronics lo desinstalen o suspendan su uso lo antes posible", dice el gigante tecnológico.

Intel también ha resuelto una vulnerabilidad de baja gravedad en Intel Software Guard Extensions (SGX). Seguido como CVE-2020-0561, el problema de inicialización incorrecto, emitió un puntaje base de 2.5, puede permitir a los usuarios autenticados escalar sus privilegios a través del acceso local.

Esta semana, Microsoft también lanzó su lote mensual de correcciones de seguridad, y el conjunto de febrero resolvió un total de 99 vulnerabilidades, de las cuales 11 se consideraron críticas. El software que incluye Internet Explorer, el navegador Edge, Microsoft Exchange Server y Microsoft Office se han incluido en la actualización.

TechRepublic: PayPal encabeza la lista de la marca más suplantada en ataques de phishing

Adobe también resolvió docenas de fallas críticas en el software, incluidos Acrobat y Reader, Flash y Adobe Experience Manager.

En noticias relacionadas, a principios de este mes, Microsoft lanzó actualizaciones de Intel para Windows 10 versiones 1909 y 1903 para ayudar a Intel a distribuir firmware protegido contra ataques de ejecución especulativa. Las actualizaciones de chip intentan solucionar el ataque Zombieload, Fallout, un problema de memoria que no se puede almacenar en caché y fallas de seguridad del búfer de carga.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original