Actualités
24/05/20 Logitech ajoute le support d'Edge Chromium dans Options 8.20
23/05/20 La compatibilité des objectifs Tamron Di III RXD/VXD avec les Sony Alpha bientôt améliorée
19/05/20 De nombreux pilotes réseaux Killer écartés de la suite logicielle
13/05/20 Référencement de la marque Dream Machines
11/05/20 Liste des bugs connus dans les drivers NVIDIA GeForce 445.87 [MAJ]
07/05/20 Les barrettes de mémoire G.SKILL DDR4 RGB compatibles Razer Chroma
06/05/20 Le pilote graphique Intel prêt pour WDDM 2.7 et Windows 10 May 2020 Update
06/05/20 Un nouveau pilote NVMe pour les SSD Crucial et Micron
29/04/20 Intel débloque l'installation de son pilote graphique pour tous les PC
29/04/20 Pilote SATA ASMedia 3.3 avec support des contrôleurs PCIe 3.0 ASM116x


Fichiers
25/05/20 Realtek RTL8111/8118/8168/8411 8.048.03
25/05/20 Realtek RTL8125 9.003.05
25/05/20 Panasonic LUMIX DC-S1H 2.0
25/05/20 ASRock A-Tuning 3.0.335
25/05/20 Intel Chipset Device Software 10.1.18295.8201 WHQL
25/05/20 Intel ixgbe 82598/82599/X520/X540/X550/X552/X553 5.7.1
25/05/20 Intel NVM Downgrade Utility X710/XL710 7.30/6.80
25/05/20 Intel NVM Downgrade Utility X710/XL710 7.30/7.00
25/05/20 Intel NVM Downgrade Utility X710/XL710 7.30/7.10
25/05/20 Intel NVM Downgrade Utility X710/XL710 7.30/7.20
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier FAQ

Pages : 1

Par Julien
Le 12/07/2018 à 17:13:55



Inscription : le 16/02/2001
Localisation : Vitrolles
Intel dévoile une dizaine de vulnérabilités de plus dans ses produits
Depuis la découverte en 2017 de plusieurs failles de sécurité critiques touchant la technologie AMT et le firmware Management Engine ou plus récemment des failles Meltdown et Spectre dans les processeurs eux-mêmes, Intel semble avoir véritablement pris conscience de l'importance de renforcer la sécurité de ses produits.

Un programme de récompenses a même été mis en place afin d'encourager les chercheurs à s'intéresser au sujet et désormais il ne se passe plus un mois sans qu'Intel annonce la découverte de nouvelles vulnérabilités dans ses applications, pilotes, firmwares, et composants matériels.

Cette semaine, ce sont pas moins de treize bulletins de sécurité supplémentaires qui ont été dévoilés. Nous ne pourrons bien sûr pas les aborder tous en détails mais voici ci-dessous un récapitulatif de ces nouvelles vulnérabilités. Plusieurs d'entre elles affectent les plateformes Intel Core grand public alors que d'autres sont limitées aux plateformes professionnelles Xeon. Dans la plupart des cas, la correction des vulnérabilités nécessite la mise à jour du BIOS/UEFI par le constructeur de la carte mère...

Gestion non sécurisée des mots de passe du BIOS et de l'AMT

  • Bulletin : INTEL-SA-00160
  • Faille : CVE-2017-5704
  • Risque : Important
  • Score CVSS : 7,2
  • Impact : Divulgation d'information
  • Description : Un utilisateur local possédant les privilèges administrateur peut accéder aux mots de passe du BIOS et de l'AMT stockés en mémoire.
  • Produits concernés : Processeurs Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake)
  • Correctif proposé : Mise à jour du BIOS et du firmware ME proposée par les OEM.

EDK II non couvert par la protection SMM

  • Bulletin : INTEL-SA-00159
  • Faille : CVE-2018-3614
  • Risque : Important
  • Score CVSS : 8,2
  • Impact : Divulgation d'information, élévation de privilèges
  • Description : Le mécanisme de protection System Management Mode (SMM) ne vérifie pas certaines portions de mémoire utilisées par l'outil de développement EDK II.
  • Produits concernés : Firmwares basés sur Tianocore (MdePkg, UefiCpuPkg, MdeModulePkg)
  • Correctif proposé : Mise à jour du firmware Tianocore .

Traitement non sécurisé de certaines variables UEFI

  • Bulletin : INTEL-SA-00158
  • Faille :
  • Risque : Modéré
  • Score CVSS : 6,1
  • Impact : Elévation de privilèges
  • Description : Une manipulation non sécurisée des variables UEFI permet à un assaillant local de désactiver certaines fonctionnalités de sécurité de la plateforme.
  • Produits concernés : Processeurs Xeon E5 v3, Xeon E5 v4, Xeon Scalable
  • Correctif proposé : Mise à jour du BIOS proposée par les OEM.

Quartus Prime Pro

  • Bulletin : INTEL-SA-00157
  • Faille : CVE-2016-9964
  • Risque : Modéré
  • Score CVSS :
  • Impact : Déni de service (DoS)
  • Description : Vulnérabilité du composant open source bottle.py lorsqu'il est activé.
  • Produits concernés : Application Quartus Prime Pro
  • Correctif proposé : Installation de la version 18.0.1.

Contournement de l'authentification du firmware

  • Bulletin : INTEL-SA-00152
  • Faille :
  • Risque : Important
  • Score CVSS : 7,6
  • Impact : Elévation de privilèges
  • Description : Une erreur logique dans les processeurs affectés permet à un assaillant physique d'exploiter un contrôle incorrect du TPM sur le firmware système.
  • Produits concernés : Processeurs Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake)
  • Correctif proposé : Mise à jour du BIOS proposée par les OEM.

Chemins non protégés dans les outils Quartus

  • Bulletin : INTEL-SA-00151
  • Faille : CVE-2018-3683, CVE-2018-3684, CVE-2018-3687, CVE-2018-3688
  • Risque : Modéré
  • Score CVSS :
  • Impact : Elévation de privilèges
  • Description : Les logiciels Quartus font appel à un chemin qui n'est pas protégé par des guillemets.
  • Produits concernés : Applications Quartus II 11.0 - 15.0, Quartus Prime 15.1 - 18.0, Quartus II Programmer and Tools 11.0 - 15.0, Quartus Prime Programmer and Tools 15.1 - 18.0
  • Correctif proposé : Installation du patch ou de la dernière version 18.1 de Quartus.

Vérification insuffisante des entrées dans VTune Amplifier

  • Bulletin : INTEL-SA-00132
  • Faille :
  • Risque : Modéré
  • Score CVSS : 4,6
  • Impact : Déni de service (DoS)
  • Description : La vérification insuffisante des entrées par les logiciels affectés permet à un utilisateur non autorisé de déclencher une attaque par déni de service.
  • Produits concernés : Applications VTune Amplifier, Advisor, Inspector
  • Correctif proposé : Mise à jour des applications en version 2018 Update 3.

Vulnérabilité dans le firmware BMC

  • Bulletin : INTEL-SA-00130
  • Faille : CVE-2018-3651
  • Risque : Important
  • Score CVSS : 8,2
  • Impact : Déni de service (DoS)
  • Description : Le firmware BMC autorise un assaillant avec les privilèges administrateur à accéder au SMBus en lecture et en écriture.
  • Produits concernés : Cartes mères Server Board, Compute Modules, Server System
  • Correctif proposé : Mise à jour du BIOS.

Validation insuffisante des entrées dans IDP

  • Bulletin : INTEL-SA-00129
  • Faille : CVE-2018-7753
  • Risque : Elevé
  • Score CVSS : 8,4
  • Impact : Déni de service (DoS)
  • Description : Le module Bleach dans l'Intel Distribution for Python (IDP) version IDP 2018 Update 2 ne valide pas correctement les entrées et autorise un utilisateur non autorisé à déclencher une attaque par déni de service.
  • Produits concernés : Application Distribution for Python versions IDP 2018 Update 2
  • Correctif proposé : Mise à jour du module Bleach en version IDP 2018 Update 3.

Faille dans le firmware CSME 11.x

  • Bulletin : INTEL-SA-00118
  • Faille : CVE-2018-3627
  • Risque : Important
  • Score CVSS : 7,5
  • Impact : Elévation de privilèges
  • Description : Une vulnérabilité dans le firmware Converged Security Management Engine (CSME) 11.x permet d'exécuter du code arbitraire.
  • Produits concernés : Processeurs Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Xeon E3-1200 v5, Xeon E3-1200 v6, Xeon W
  • Correctif proposé : Mise à jour du firmware CSME en version 11.8.50.

Chiffrement non fonctionnel avec Optane Memory

  • Bulletin : INTEL-SA-00114
  • Faille : CVE-2018-3619
  • Risque : Modéré
  • Score CVSS : 5,3
  • Impact : Divulgation d'information
  • Description : Le chiffrement d'un support de stockage peut être contourné et une partie des données dérobées lorsqu'un module de mémoire Optane Memory est utilisé.
  • Produits concernés : Processeurs Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Core X, Xeon E, Optane Memory
  • Correctif proposé : Utilisation du service Microsoft BitLocker au lieu d'un logiciel tiers et activation de BitLocker avant la configuration de la mémoire Optane.

Mise à jour de sécurité cumulative pour l'Active Management Technology 9.x/10.x/11.x

  • Bulletin : INTEL-SA-00112
  • Faille : CVE-2018-3628, CVE-2018-3629, CVE-2018-3632
  • Risque : Important
  • Score CVSS : 6,4, 7,5, 8,1
  • Impact : Elévation de privilèges
  • Description : De nouvelles vulnérabilités ont été découvertes au niveau de la technologie AMT et du firmware Converged Security Management Engine (CSME).
  • Produits concernés : Processeurs Core 2 Duo vPro, Core 1st Gen (Arrandale/Clarkdale), Core 2nd Gen (Sandy Bridge), Core 3rd Gen (Ivy Bridge), Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Xeon E3-1200 v5, Xeon E3-1200 v6, Xeon Scalable, Xeon W
  • Correctif proposé : Mise à jour du firmware CSME.

Mise à jour de la stratégie Direct Connect Interface (DCI)

  • Bulletin : INTEL-SA-00127
  • Faille : CVE-2018-3652
  • Risque : Important
  • Score CVSS :
  • Impact : Elévation de privilèges
  • Description : Des restrictions dans certains réglages UEFI permettent à un assaillant physique d'accéder à des données sensibles de la plateforme.
  • Produits concernés : Processeurs Xeon E3 v5 (Skylake), Xeon E3 v6 (Kaby Lake), Xeon D (Skylake-D), Xeon Scalable (Purley), Atom C (Denverton)
  • Correctif proposé : Désactivation du contrôle DCI dans le code source C.



Modérateur TLD
Par galixte
Le 13/07/2018 à 02:15:26



Inscription : le 14/01/2004
Localisation : Marseille
Intel dévoile une dizaine de vulnérabilités de plus dans ses produits    Modifier le message   Configuration de galixte
Lien vers les bulletins 00152 & 00158 : https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00152.html & https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00158.html ;)
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message Intel dévoile une dizaine de vulnérabilités de plus dans ses produits

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.