 Après la faille de sécurité critique CVE-2017-5689 (INTEL-SA-00075) qui affecte la plateforme Intel vPro et plus particulièrement la technologie d'administration Active Management Technology (AMT), Intel révélait avant l'été qu'une autre vulnérabilité, CVE-2017-5697 (INTEL-SA-00081), aux effets plus modérés, touche le firmware Management Engine (ME).
La valse des problèmes se poursuit aujourd'hui pour les technologies Active Management Technology (AMT), Intel Standard Manageability (ISM) et Small Business Technology (SBT) que l'on retrouve exclusivement sur des machines professionnelles comme des stations de travail et serveurs (les PC grand public ne sont pas concernés). Intel annonce en effet la découverte d'une vulnérabilité supplémentaire référencée CVE-2017-5698 (INTEL-SA-00082).
En fait, il ne s'agit pas vraiment d'une menace nouvellement identifiée mais d'un cas de figure particulier auquel Intel n'avait sans doute pas pensé au départ de cette affaire.
Une machine basée sur un processeur de sixième génération (Skylake) fonctionne à la base effectivement avec un firmware ME de la branche 11.0 qui peut avoir été patché à juste titre vers une version 11.0 comme les 11.0.25.3001 et 11.0.26.3000 afin de profiter des deux corrections évoqués ci-dessus. Toutefois, il s'avère que le firmware Management Engine 11.0 d'un PC Skylake peut être mis à jour vers la branche 11.6, apparue avec la plateforme Kaby Lake, afin de profiter de fonctionnalités de maintenance supplémentaires.
Dans ce cas, il faut s'assurer que le firmware ME 11.6 ne soit pas basé sur une ancienne version du type 11.6.x.1xxx qui reste vulnérable aux failles CVE-2017-5689 et CVE-2017-5697 évoquées ci-dessus. Une version 11.6.x.1xxx peut notamment être installée lors du flash du BIOS de la carte mère avec une vieille version pas à jour. Ce n'est qu'à partir de la version 11.6.27.3264 du firmware ME que la branche 11.6 est dite sécurisée.
Intel traite cette possible régression comme une nouvelle faille de sécurité mais la considère comme d'un risque modéré (score CVSS de 6,3) notamment car la mise à jour nécessite l'intervention d'un utilisateur avec des permissions d'administration.
Versions du firmware ME corrigées
- Branche 11.0 : 11.0.25.3001 et supérieures
- Branche 11.5/11.6 : 11.6.27.3264 et supérieures
Pour information, Intel a également publié une nouvelle version 11.7.0.1035 du pilote Management Engine (HECI) en édition Consumer et Corporate mais cela ne met pas à jour le firmware ME. Seul un nouveau BIOS de la carte mère permet éventuellement d'actualiser le ME.
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
18/04/24 Logitech G HUB 2024.3.3733
18/04/24 JVC KY-PZ200 1.1.57
18/04/24 SIGMA 150-600mm F5-6.3 DG DN OS | Sports Sony E-Mount 56389566 04
18/04/24 Realtek PCIe Gigabit Ethernet 8.053.00
18/04/24 Pioneer DJ rekordbox 6.8.5
