Intel a corrigé plusieurs vulnérabilités découvertes dans ses extensions Software Guard (SGX) et exhorte maintenant les utilisateurs à appliquer le correctif dès que possible.
Les failles affectent une « large gamme de produits Intel », y compris les processeurs Xeon, les adaptateurs réseau et les logiciels. Au total, 31 avis ont été ajoutés au centre de sécurité Intel, dont cinq CVE.
Sur ces cinq, deux sont des vulnérabilités d’escalade de privilèges qui pourraient permettre aux acteurs de la menace d’élever les privilèges dont disposent leurs comptes sur les terminaux cibles. (s’ouvre dans un nouvel onglet) et les utiliser pour exfiltrer des données sensibles. L’ironie est palpable ici, laisse entendre la publication, car SGX est une fonctionnalité « qui est censée permettre le traitement sécurisé de données sensibles à l’intérieur de zones de mémoire cryptées appelées enclaves ».
Voler des données sensibles
La troisième faille, identifiée comme CVE-2022-38090, est une vulnérabilité de niveau moyen affectant, entre autres, les processeurs évolutifs Xeon de 3e génération. Selon Intel, « une isolation incorrecte des ressources partagées dans certains processeurs Intel lors de l’utilisation des extensions Intel Software Guard peut permettre à un utilisateur privilégié d’activer potentiellement la divulgation d’informations via un accès local ».
Selon Intel, la meilleure solution consiste à mettre à jour le micrologiciel de votre appareil.
La quatrième vulnérabilité, suivie sous le nom de CVE-2022-33196, est une faille de haute gravité affectant également les processeurs Xeon Scalable de 3e génération, mais également les processeurs Xeon D. Des correctifs, sous la forme de mises à jour du BIOS et du microcode, sont en route, a ajouté la société.
La cinquième faille affecte le kit de développement logiciel (SDK) de SGX. Bien que celui-ci soit classé comme étant de faible gravité, il y a toujours une chance que des escrocs l’utilisent pour voler des données sensibles, selon Intel. Une mise à jour est également en cours.
SGX, qui en est maintenant à sa huitième année, a été « en proie à des vulnérabilités », indique la publication, ajoutant que l’outil était obsolète dans les puces axées sur le client des processeurs Core de 11e et 12e génération.
Via : Le Registre (s’ouvre dans un nouvel onglet)