Vulnérabilités dans plusieurs produits Intel

De multiples vulnérabilités ont été découvertes dans plusieurs produits Intel, tels que Intel SSD ou Intel Innovation Engine. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, un déni de service ou une fuite d’informations.

Vulnérabilités pour Intel Converged Security and Manageability Engine (CSME), Intel Server Platform Services (SPS), Intel Trusted Execution Engine (TXE), Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) et Intel Dynamic Application Loader (DAL) :

CVE-2020-0594 [Score CVSS v3 : 9.8] : Une vulnérabilité de type lecture hors-limites a été découverte dans le sous-système IPv6 d’Intel AMT (Intel Active Management Technology) et Intel ISM (Intel Standard Manageability). Elle peut permettre à un attaquant distant et non authentifié de provoquer une élévation de privilèges.

CVE-2020-0595 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le sous-système IPv6 d’Intel AMT et Intel ISM. Elle peut permettre à un attaquant distant et non authentifié de provoquer une élévation de privilèges.

CVE-2020-0586 [Score CVSS v3 : 8.4] : Une vulnérabilité due à une initialisation erronée du sous-système d’Intel SPS (Intel Server Platform Services) peut permettre à un attaquant authentifié de provoquer une élévation de privilèges et / ou un déni de service. 

CVE-2020-0542 [Score CVSS v3 : 7.8] : Une vulnérabilité due à des restrictions incorrectes sur la mémoire tampon d’Intel CSME (Intel Converged Security and Manageability Engine) peut permettre à un attaquant authentifié de provoquer une élévation de privilèges, une fuite d’informations ou un déni de service.

CVE-2020-0596 [Score CVSS v3 : 7.5] : Une vulnérabilité due à une validation incorrecte des entrées DHCPv6 dans Intel AMT et Intel ISM peut permettre à un attaquant distant et non authentifié de provoquer une fuite d’informations.

CVE-2020-0538 [Score CVSS v3 : 7.5] : Une vulnérabilité due à une validation incorrecte d’entrées dans Intel AMT peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.

CVE-2020-0534 [Score CVSS v3 : 7.5] : Une vulnérabilité due à une validation incorrecte d’entrées dans le sous-système DAL d’Intel CSME peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.

CVE-2020-0533 [Score CVSS v3 : 7.5] : Une vulnérabilité due à un hash réversible dans Intel CSME peut permettre à un utilisateur privilégié de provoquer une élévation de privilèges, un déni de service ou une fuite d’informations.

Vulnérabilité dans des disques durs SSD Intel :

CVE-2020-0527 [Score CVSS v3 : 7.9] : Une vulnérabilité due à un contrôle insuffisant des flux a été découverte dans des SSDs pour datacenter Intel. Elle peut permettre à un attaquant ayant des droits privilégiés de provoquer une fuite d’informations.

Vulnérabilité dans le BIOS de processeurs Intel :

CVE-2020-0528 [Score CVSS v3 : 7.5] : Une vulnérabilité due à des restrictions incorrectes sur la mémoire tampon du BIOS de processeurs Intel de 7eme, 8eme, 9eme et 10eme génération peut permettre à un attaquant authentifié de provoquer une élévation de privilège et / ou un déni de service.

Vulnérabilité dans Intel Innovation Engine :

CVE-2020-8675 [Score CVSS v3: 7.1] : Une vulnérabilité due à un contrôle insuffisant des flux a été découverte dans Intel Innovation Engine. Elle peut permettre à un attaquant non authentifié et présent physiquement de provoquer une élévation de privilèges.

Informations
+

Risques

  • Elévation de privilèges

  • Déni de service

  • Fuite d’informations

Criticité

  • Score CVSS v3 : 9.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible actuellement 

Composants vulnérables

  • La liste des composants vulnérables est disponible dans les bulletins Intel référencés dans la section “Références”

CVE

  • La liste complète des CVE est disponible dans les bulletins Intel référencés dans la section “Références”


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour les produits vulnérables avec les derniers correctifs fournis par Intel

Solution de contournement

  • Aucune solution de contournement n’est disponible