Intel analiza los virus reportados en sus productos el año pasado



Un nuevo informe de Intel analiza los más de 200 CVE que afectan a los productos de Intel en 2019.

CONFERENCIA RSA 2020 – San Francisco – En 2019, Intel publicó 236 vulnerabilidades CVE (vulnerabilidades y exposiciones comunes) de sus diversos productos. La compañía emitió hoy un informe que analizaba esos CVE sobre el tipo, la gravedad y la fuente como parte de la promesa de Intel de proporcionar una mayor transparencia en su proceso de descubrimiento y divulgación de errores.

Jerry Bryant, director de comunicación de seguridad en el grupo Intel Platform Assurance and Protection, dijo que una de las cosas que lo sorprendieron cuando revisó la lista de CVE fue de dónde provenían: «144 de los 236 CVE fueron descubiertos internamente por Intel empleados «, dijo Bryant, autor de Intels Informe de seguridad del producto 2019. Del resto, dice, 70 fueron encontrados a través del programa Intel Bug Bounty.

Entre los descubrimientos internos y los realizados a través del programa de recompensas, Bryant dice que el 91% de los CVE fueron generados por investigadores asociados de alguna manera con Intel.

Escala de gravedad

El Sistema de puntuación de vulnerabilidad común (CVSS) clasifica la gravedad de las vulnerabilidades y permite que esa gravedad se comunique entre equipos e individuos. La clasificación de vulnerabilidades en una escala de a 10, 3.9 e inferior es baja, 9. y excellent es crítica y 4.1 – 9.9 son bajos, medios y altos, dependiendo de la puntuación precisa.

De los 236 CVE en 2019, solo cuatro fueron críticos, mientras que 151 fueron de gravedad baja o media. Todos los CVE críticos se encontraron en el Controlador de administración de la placa base (BMC), utilizado para el monitoreo y manage remoto del servidor, y el Motor de seguridad y capacidad de administración convergente (CSME), un procesador y sistema operativo de baja potencia para tareas de seguridad que se ejecuta en paralelo con la CPU principal

¿Y qué pasa con la CPU y las vulnerabilidades de «ejecución especulativa, canal lateral» que han aparecido tanto en las noticias después de Specter y Meltdown? Hubo 11 CVE relacionadas con los problemas arquitectónicos el año pasado, lo que representa menos del 5% del total. Esos CVE de CPU promediaron un CVSS de 5.02, obteniendo un puntaje de severidad «medio» agregado.

Según el informe de Intel, «estas vulnerabilidades del canal lateral microarquitectura a menudo están estrechamente relacionadas, generalmente son difíciles de explotar y, según el conocimiento de Intel, no se han utilizado con éxito fuera de un entorno de laboratorio controlado en el momento de este informe».

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Dark Examining. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video clip para Dim Reading through y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más ideas





Enlace a la noticia initial