Компания устранила баг в приложении Easy Streaming Wizard и новую уязвимость NetCAT в серверных процессорах.
Компания Intel выпустила патчи для двух уязвимостей в своих программных и аппаратных продуктах. Эксплуатация ошибок позволяла злоумышленникам повысить свои привилегии и скомпрометировать информацию жертвы.
Первый баг связан с Intel Easy Streaming Wizard — инструментом, упрощающим настройку ПО для потокового вещания Open Broadcaster Software. Проблема возникала из-за неправильных прав доступа к файлам в установщике приложения. Благодаря ей авторизованный злоумышленник мог повысить свои привилегии без взаимодействия с жертвой. Уязвимость получила идентификатор CVE-2019-11166 и 5,7 балла по шкале CVSS. Для устранения бага пользователям рекомендуют обновить Easy Streaming Wizard до 2.1.0731 или старше.
Вторая ошибка возникает в процессорах Intel Xeon E5, E7 и SP, поддерживающих технологии прямого ввода-вывода данных (DDIO) и удаленного прямого доступа к памяти (RDMA). Об этой уязвимости, названной NetCAT, 10 сентября сообщили исследователи из университета VU Amsterdam. Злоумышленники могут использовать ее для удаленной атаки на целевую систему и компрометации данных, обрабатываемых в кэше процессора.
«Часть информации, которую потенциально можно заполучить с помощью этой уязвимости, может использоваться для усиления других способов атаки», — сообщается в рекомендации Intel. Один из сценариев атаки, в ходе которой исследователям удалось перехватить ввод с клавиатуры, продемонстрирован на видео.
Уязвимость получила идентификатор CVE-2019-11184 и 2,7 балла по шкале CVSS.
В мае этого года специалисты Intel сообщили о новом классе атак по сторонним каналам, затрагивающем все современные процессоры производителя. Проблема могла привести к утечке конфиденциальных данных из памяти чипа. Компания выпустила обновление микрокода для уязвимых продуктов и устранила баг на аппаратном уровне в процессорах и микросхемах 8-го и 9-го поколений.