Actualités
17/07/19 AMD supporte Gears 5 dans les drivers Radeon 19.7.2
16/07/19 Mise à jour des utilitaires Creative ALchemy, HOAL, DDL et DTS Connect
15/07/19 Le Sound Blaster Command supporte les Sound Blaster AE-7 et AE-9 et bientôt l'AE-5
15/07/19 NVIDIA propose le benchmark FrameView pour tester les performances des GPU
11/07/19 Mise à jour 2.9.0 pour les NAS Western Digital My Cloud Home
11/07/19 Le SSD Dashboard passe en version 2.5.1 chez SanDisk et WD [MAJ]
10/07/19 G HUB 2019.6 pour les périphériques de jeu Logitech
10/07/19 Intel met à jour le pilote NVMe pour Windows 10 May 2019 Update
09/07/19 Drivers NVIDIA 431.36 avec support des GeForce RTX SUPER et de plusieurs jeux [MAJ]
08/07/19 L'utilitaire d'overclocking AMD Ryzen Master passe en version 2.0


Fichiers
17/07/19 AMD Install Manager 19.7.2
17/07/19 AMD Radeon HD 7000/8000/R 200/300/Fury/RX 400/500/600/Vega/5000 19.7.2 bêta
17/07/19 Intel Wi-Fi Drivers 21.20.0 WHQL
16/07/19 Intel PROSet/Wireless WiFi Software 21.20.0 WHQL
16/07/19 Intel PROSet/Wireless Bluetooth Software 21.20.0 WHQL
16/07/19 AORUS ENGINE 1.6.8
16/07/19 Digital Audio Labs Livemix CS-DUO/SOLO 2.15
16/07/19 Digital Audio Labs Livemix MIX-16/32 2.15
16/07/19 Digital Audio Labs Livemix MIX-16/32 Firmware Update Wizard 2.15
16/07/19 Microsoft Surface Go 4G LTE 17763 19_020_10 WHQL
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier FAQ

Pages : 1

Par Julien
Le 18/03/2019 à 19:33:52



Inscription : le 16/02/2001
Localisation : Vitrolles
Le point sur les failles de sécurité dans les pilotes et logiciels Intel
Cela commence à faire un certain temps que nous n'avons pas relayé sur TLD les dernières failles de sécurité découvertes dans les pilotes, logiciels et firmwares développés par Intel. Il est donc grand temps de faire un point sur les principales vulnérabilités dévoilées ces derniers mois.

On peut commencer par les drivers Rapid Storage Technology Enterprise pour les plateformes serveur et PC de bureau haut de gamme (HEDT). L'installateur du pack RSTe contient une vulnérabilité critique (CVE-2019-0135 / INTEL-SA-00231) avec un score CVSS de base de 7,3 qui est exploitable lorsque l'utilisateur sélectionne le composant Accelerated Storage Manager (ASM) en vue de son installation pour configurer un SSD en solution de cache. Lors de l'installation d'ASM, des permissions inadaptées sont attribuées ce qui autorise une élévation de privilèges. La mise à jour des drivers Intel RSTe (SATA, sSATA, NVMe, VROC) vers la dernière version 5.5 (5.5.0.1367) suffirait à corriger le problème.

L'édition Enterprise du pack Rapid Store Technology n'est pas la seule touchée puisqu'une faille un peu du même genre avait déjà été dévoilée en fin d'année 2018 dans le pack RST standard. Une validation insuffisante des entrées par le programme d'installation autorise une élévation de privilèges ce qui est considéré comme critique par Intel avec un score CVSS de base de 7,5 (CVE-2018-3635 / INTEL-SA-00153). Toutes les versions des drivers RST sont affectées. Un correctif a été intégré dans les versions 16.7 et suivantes qu'il est vivement recommandé d'installer.

Toujours concernant les drivers AHCI et RAID d'Intel, on a appris qu'une vulnérabilité critique (CVE-2019-0121 / INTEL-SA-00216) touche les drivers Matrix Storage Manager (MSM) qui ne sont rien d'autre que les ancêtres des drivers RST. Les drivers MSM ne sont plus maintenus depuis dix ans mais on peut potentiellement encore les retrouver sur de vieilles configurations dotées d'un couple northbridge/southbridge. L'ensemble des pilotes MSM sont affectés par une élévation de privilèges y compris la dernière version 8.9.0.1023. Intel ne prévoit évidemment aucune mise à jour et recommande de ne plus les utiliser et de les désinstaller.

En septembre 2018, Intel avait actualisé son pilote USB 3.0 (xHCI) 5.0.4.43 pour Windows 7 sans pour autant modifier le numéro de version de cette mise à jour et sans que l'on sache vraiment à quoi cela elle servait. Seul le programme d'installation avait été modifié et on a récemment appris qu'il s'agissait en réalité uniquement de corriger une faille de sécurité (CVE-2018-3700 / INTEL-SA-00200) qui présenterait un risque modéré. Les utilisateurs de Windows 7 et d'une configuration Intel sont tout de même incités à effectuer la mise à jour. La faille consiste en l'injection de code dans le programme d'installation pour provoquer une élévation de privilèges.

Toujours concernant l'USB 3.0 et Windows 7, sachez que l'utilitaire Windows 7 USB 3.0 Image Creator Utility est également vulnérable à une autre faille (CVE-2019-0129 / INTEL-SA-00229). Là encore, ce dernier permet à un utilisateur malintentionné d'obtenir des permissions auxquelles il n'a pas droit normalement. Plutôt que de proposer un correctif, Intel a préféré tout simplement supprimer définitivement cet outil de son site web qui n'est donc plus disponible au téléchargement. Pour rappel, cet utilitaire permettait d'intégrer les pilotes USB 3.0 (xHCI) d'Intel dans une image d'installation bootable du système Windows 7 afin qu'il puisse être installé sur les configurations Intel récentes (Skylake et PCH 100 Series) depuis une clé USB par exemple.

Intel annonce aussi la découverte de plusieurs failles critiques (INTEL-SA-00191) dans le firmware de nombreux CPU et SoC Celeron, Core et Pentium des générations 6th et 7th. Ces failles autorisent une élévation des privilèges, la divulgation d'informations ou encore des attaques par déni de service. Intel ne donne pas d'autre solution que de se rapprocher du fabricant de l'ordinateur ou de la carte mère en espérant que ces derniers proposent rapidement un correctif via un nouveau BIOS/UEFI. D'après nos constatations, c'est déjà le cas chez Lenovo par exemple pour certains PC de bureau. Le changelog du BIOS doit mentionner le correctif 2018.4 QSR (Intel Quarterly Security Release).

Le pilote graphique Intel Iris and HD Graphics est également concerné par le bulletin Quarterly Security Release (QSR) 2018.4. Ce sont en réalité près d'une vingtaine de vulnérabilités considérées comme d'un niveau bas, moyen ou élevé qui ont été corrigées par Intel dans les différentes branches du pilote graphique (100.xx, 15.45, 15.40, 15.36, 15.33). Ces failles affectent donc tous les processeurs dotés d'un GPU intégré depuis la troisième génération (Ivy Bridge). Ces failles exploitent des dépassements de mémoire tampon, des corruptions de la mémoire dans l'espace noyau, des erreurs de pointeurs ou encore des validations des entrées insuffisantes. Tous les pilotes concernés ont reçu des mises à jour à l'automne 2018 voire début 2019. Leur installation est vivement recommandée pour ne pas dire impérative.

Le pilote réseau sans fil PROSet/Wireless WiFi Software n'est pas en reste et a bénéficié successivement de deux corrections de sécurité. La première (CVE-2018-12177 / INTEL-SA-00182) est qualifiée de critique et touche toutes les versions du pilote Wi-Fi antérieures à la 20.90.0.7. Elle peut entraîner une élévation de privilèges à cause d'un problème de permissions au niveau du service ZeroConfig. La seconde (CVE-2018-12159 / INTEL-SA-00169) présente, elle, un risque faible (déni de service) et touche les versions 20.50 et antérieures. Un correctif a été développé depuis la version 20.60 sortie en juin 2018.

On peut aussi parler des vulnérabilités qui touchent les SSD Intel comme le firmware de l'Optane SSD DC P4800X (INTEL-SA-00175) ainsi que les applications SSD Toolbox (CVE-2018-18097 / INTEL-SA-00205) et SSD Data Center Tool (CVE-2018-3703 / INTEL-SA-00207). Le pilote NVMe Miniport and Filter Device Management est aussi concerné et doit être actualisé en version 4.0.0.1007 ou supérieure (CVE-2018-12131 / INTEL-SA-00154).

L'installation des dernières mises à jour permet de se prémunir contre ces failles qui ont, pour la plupart, été identifiées il y a de nombreux mois déjà mais Intel se met généralement d'accord avec les experts en sécurité qui les ont découvertes pour ne pas les divulguer avant la disponibilité des correctifs voire plusieurs mois après le temps qu'une majorité d'utilisateurs les ai déployés.

Téléchargement des derniers pilotes, applications et firmwares Intel


Modérateur TLD
Par lovegoodPC
Le 22/03/2019 à 08:47:18

Inscription : le 10/03/2006
Le point sur les failles de sécurité dans les pilotes et logiciels Intel    Modifier le message   Configuration de lovegoodPC
A ce rythme intel va rentrer dans le wiktionnaire :

intel n. propre .syn. de failles ou encore brèche : l'étymologie de ce mot remonte au fait que la firme du même nom était un fabricant de processeurs qui passait son temps à corriger des failles de sécurité logiciel et qui étaient même soupçonné d'en introduire dans son propre
matériel à la demande des services de renseignements des États-Unis d'Amérique.

:P
Par Julien
Le 22/03/2019 à 10:20:34



Inscription : le 16/02/2001
Localisation : Vitrolles
Le point sur les failles de sécurité dans les pilotes et logiciels Intel    Modifier le message
:D

Bon, il faut quand même dire qu'Intel a un sacré catalogue logiciel à son actif que peu d'autres marques possèdent donc forcément des failles, il y en a beaucoup d'autant plus qu'Intel a récemment intensifié la recherche en sécurité et a même mis en place un programme de récompenses.

Modérateur TLD
Par lovegoodPC
Le 22/03/2019 à 13:24:09

Inscription : le 10/03/2006
Le point sur les failles de sécurité dans les pilotes et logiciels Intel    Modifier le message   Configuration de lovegoodPC
Bonjour Julien,
Ceci explique cela finalement. Du coup c'est plutôt une bonne chose finalement. Après certains de leurs logiciels sont finalement superflus surtout pour un usage standard et certains autres devraient plutôt être incorporé dans le firmware (je pense à AMD et sa solution embarquée pour le ramdisk ne nécessitant pas d'utilitaire sur l'OS si je ne me trompe pas)
Par luxy68
Le 26/03/2019 à 00:06:35



Inscription : le 17/08/2004
Localisation : Mulhouse
Le point sur les failles de sécurité dans les pilotes et logiciels Intel    Modifier le message   Configuration de luxy68
pour une société qui pèse des milliards, c'est un peu lamentable d'avoir autant de bug dans leur CPU et dans leurs drivers / logiciels ... :O
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message Le point sur les failles de sécurité dans les pilotes et logiciels Intel

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.