Η Intel αντιμετώπισε 95 ευπάθειες στο Patch Tuesday Νοεμβρίου 2020, συμπεριλαμβανομένων και ορισμένων κρίσιμων ευπαθειών που επηρεάζουν τα προϊόντα Intel Wireless Bluetooth και Intel Active Management Technology (AMT).
Τα θέματα αναλύθηκαν λεπτομερώς στις 40 συμβουλές ασφαλείας που δημοσίευσε η Intel στο Product Security Center, με την εταιρεία να έχει παραδώσει ενημερώσεις ασφαλείας και λειτουργικές στους χρήστες μέσω της διαδικασίας Intel Platform Update (IPU).
Η Intel παρέχει μια λίστα με όλα τα επηρεαζόμενα προϊόντα και συστάσεις για ευάλωτα προϊόντα στο τέλος κάθε συμβουλευτικής, καθώς και στοιχεία επικοινωνίας για όσους θέλουν να αναφέρουν άλλα ζητήματα ασφάλειας ή ευπάθειες που εντοπίζονται σε προϊόντα ή τεχνολογία με την επωνυμία Intel.
Σημειωτέον μεταξύ των ενημερώσεων ασφαλείας που εκδόθηκαν την Τρίτη, η Intel αντιμετώπισε μια κρίσιμη ευπάθεια με βαθμολογία CVSS 9,4 / 10 στα προϊόντα Intel Active Management Technology (AMT) και Intel Standard Manageability (ISM).
Το ελάττωμα (που παρακολουθείται σαν CVE-2020-8752) είναι μια εγγραφή στο υποσύστημα IPv6 των Intel AMT και ISM (εκδόσεις πριν από τις 11.8.80, 11.12.80, 11.22.80, 12.0.70, 14.0. 45) που επιτρέπει απομακρυσμένη μη εξουσιοδοτημένη για αλλαγή προνομίων.
Η επιτυχής εκμετάλλευση απαιτεί την ρύθμιση ευπαθών προϊόντων με IPv6 που δεν είναι μια προεπιλεγμένη ρύθμιση σύμφωνα με την Intel.
Ένα δεύτερο κρίσιμο ελάττωμα ασφαλείας (CVE-2020-12321) με βαθμολογία σοβαρότητας CVSS 9,6 / 10 που επηρεάζει ορισμένα προϊόντα Intel Wireless Bluetooth αντιμετωπίστηκε επίσης στην ενημέρωση της Intel τον Νοέμβριο.
Οι νέες ευπάθειες της Intel CPU (CVE-2020-8694και CVE-2020-8695) ονομάστηκαν PLATYPUS και αποκαλύφθηκαν από μια διεθνή ομάδα ερευνητών από το Τεχνολογικό Πανεπιστήμιο Graz, το Κέντρο CISPA Helmholtz για την Ασφάλεια Πληροφοριών και το Πανεπιστήμιο του Μπέρμιγχαμ.
Η επιτυχής εκμετάλλευση των δύο τρωτών σημείων θα μπορούσε να οδηγήσει σε διαρροή πληροφοριών από τη διεπαφή Running Average Limit Power (RAPL), που χρησιμοποιείται για την παρακολούθηση και διαχείριση της CPU και της κατανάλωσης ενέργειας της μνήμης DRAM.
Οι ερευνητές κυκλοφόρησαν επίσης ένα βίντεο που δείχνει πώς μπορεί κάποιος να κλέψει κλειδιά AES-NI από το Intel SGX με μια επίθεση PLATYPUS.
- KB4589212: Intel microcode updates for Windows 10, version 2004 and 20H2, and Windows Server, version 2004 and 20H2
- KB4589211: Intel microcode updates for Windows 10, version 1903 and 1909, and Windows Server, version 1903 and 1909
- KB4589208: Intel microcode updates for Windows 10, version 1809 and Windows Server 2019
- KB4589206: Intel microcode updates for Windows 10, version 1803
- KB4589210: Intel microcode updates for Windows 10, version 1607 and Windows Server 2016
- KB4589198: Intel microcode updates for Windows 10, version 1507