Marques | Mes Drivers | Actualités | Dossiers | Indispensables | Utilitaires | Forum | Espace Membres | Partenaires | RSS | A Propos
Rechercher sur TLD Google
Favoris   Démarrage   Envoyer   Imprimer   Moteur TLD   RSS


Accueil > Actualités > Intel dévoile une dizaine de vulnérabilités de plus dans ses produits

Intel dévoile une dizaine de vulnérabilités de plus dans ses produits

Depuis la découverte en 2017 de plusieurs failles de sécurité critiques touchant la technologie AMT et le firmware Management Engine ou plus récemment des failles Meltdown et Spectre dans les processeurs eux-mêmes, Intel semble avoir véritablement pris conscience de l'importance de renforcer la sécurité de ses produits.

Un programme de récompenses a même été mis en place afin d'encourager les chercheurs à s'intéresser au sujet et désormais il ne se passe plus un mois sans qu'Intel annonce la découverte de nouvelles vulnérabilités dans ses applications, pilotes, firmwares, et composants matériels.

Cette semaine, ce sont pas moins de treize bulletins de sécurité supplémentaires qui ont été dévoilés. Nous ne pourrons bien sûr pas les aborder tous en détails mais voici ci-dessous un récapitulatif de ces nouvelles vulnérabilités. Plusieurs d'entre elles affectent les plateformes Intel Core grand public alors que d'autres sont limitées aux plateformes professionnelles Xeon. Dans la plupart des cas, la correction des vulnérabilités nécessite la mise à jour du BIOS/UEFI par le constructeur de la carte mère...

Gestion non sécurisée des mots de passe du BIOS et de l'AMT

  • Bulletin : INTEL-SA-00160
  • Faille : CVE-2017-5704
  • Risque : Important
  • Score CVSS : 7,2
  • Impact : Divulgation d'information
  • Description : Un utilisateur local possédant les privilèges administrateur peut accéder aux mots de passe du BIOS et de l'AMT stockés en mémoire.
  • Produits concernés : Processeurs Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake)
  • Correctif proposé : Mise à jour du BIOS et du firmware ME proposée par les OEM.

EDK II non couvert par la protection SMM

  • Bulletin : INTEL-SA-00159
  • Faille : CVE-2018-3614
  • Risque : Important
  • Score CVSS : 8,2
  • Impact : Divulgation d'information, élévation de privilèges
  • Description : Le mécanisme de protection System Management Mode (SMM) ne vérifie pas certaines portions de mémoire utilisées par l'outil de développement EDK II.
  • Produits concernés : Firmwares basés sur Tianocore (MdePkg, UefiCpuPkg, MdeModulePkg)
  • Correctif proposé : Mise à jour du firmware Tianocore .

Traitement non sécurisé de certaines variables UEFI

  • Bulletin : INTEL-SA-00158
  • Faille :
  • Risque : Modéré
  • Score CVSS : 6,1
  • Impact : Elévation de privilèges
  • Description : Une manipulation non sécurisée des variables UEFI permet à un assaillant local de désactiver certaines fonctionnalités de sécurité de la plateforme.
  • Produits concernés : Processeurs Xeon E5 v3, Xeon E5 v4, Xeon Scalable
  • Correctif proposé : Mise à jour du BIOS proposée par les OEM.

Quartus Prime Pro

  • Bulletin : INTEL-SA-00157
  • Faille : CVE-2016-9964
  • Risque : Modéré
  • Score CVSS :
  • Impact : Déni de service (DoS)
  • Description : Vulnérabilité du composant open source bottle.py lorsqu'il est activé.
  • Produits concernés : Application Quartus Prime Pro
  • Correctif proposé : Installation de la version 18.0.1.

Contournement de l'authentification du firmware

  • Bulletin : INTEL-SA-00152
  • Faille :
  • Risque : Important
  • Score CVSS : 7,6
  • Impact : Elévation de privilèges
  • Description : Une erreur logique dans les processeurs affectés permet à un assaillant physique d'exploiter un contrôle incorrect du TPM sur le firmware système.
  • Produits concernés : Processeurs Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake)
  • Correctif proposé : Mise à jour du BIOS proposée par les OEM.

Chemins non protégés dans les outils Quartus

  • Bulletin : INTEL-SA-00151
  • Faille : CVE-2018-3683, CVE-2018-3684, CVE-2018-3687, CVE-2018-3688
  • Risque : Modéré
  • Score CVSS :
  • Impact : Elévation de privilèges
  • Description : Les logiciels Quartus font appel à un chemin qui n'est pas protégé par des guillemets.
  • Produits concernés : Applications Quartus II 11.0 - 15.0, Quartus Prime 15.1 - 18.0, Quartus II Programmer and Tools 11.0 - 15.0, Quartus Prime Programmer and Tools 15.1 - 18.0
  • Correctif proposé : Installation du patch ou de la dernière version 18.1 de Quartus.

Vérification insuffisante des entrées dans VTune Amplifier

  • Bulletin : INTEL-SA-00132
  • Faille :
  • Risque : Modéré
  • Score CVSS : 4,6
  • Impact : Déni de service (DoS)
  • Description : La vérification insuffisante des entrées par les logiciels affectés permet à un utilisateur non autorisé de déclencher une attaque par déni de service.
  • Produits concernés : Applications VTune Amplifier, Advisor, Inspector
  • Correctif proposé : Mise à jour des applications en version 2018 Update 3.

Vulnérabilité dans le firmware BMC

  • Bulletin : INTEL-SA-00130
  • Faille : CVE-2018-3651
  • Risque : Important
  • Score CVSS : 8,2
  • Impact : Déni de service (DoS)
  • Description : Le firmware BMC autorise un assaillant avec les privilèges administrateur à accéder au SMBus en lecture et en écriture.
  • Produits concernés : Cartes mères Server Board, Compute Modules, Server System
  • Correctif proposé : Mise à jour du BIOS.

Validation insuffisante des entrées dans IDP

  • Bulletin : INTEL-SA-00129
  • Faille : CVE-2018-7753
  • Risque : Elevé
  • Score CVSS : 8,4
  • Impact : Déni de service (DoS)
  • Description : Le module Bleach dans l'Intel Distribution for Python (IDP) version IDP 2018 Update 2 ne valide pas correctement les entrées et autorise un utilisateur non autorisé à déclencher une attaque par déni de service.
  • Produits concernés : Application Distribution for Python versions IDP 2018 Update 2
  • Correctif proposé : Mise à jour du module Bleach en version IDP 2018 Update 3.

Faille dans le firmware CSME 11.x

  • Bulletin : INTEL-SA-00118
  • Faille : CVE-2018-3627
  • Risque : Important
  • Score CVSS : 7,5
  • Impact : Elévation de privilèges
  • Description : Une vulnérabilité dans le firmware Converged Security Management Engine (CSME) 11.x permet d'exécuter du code arbitraire.
  • Produits concernés : Processeurs Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Xeon E3-1200 v5, Xeon E3-1200 v6, Xeon W
  • Correctif proposé : Mise à jour du firmware CSME en version 11.8.50.

Chiffrement non fonctionnel avec Optane Memory

  • Bulletin : INTEL-SA-00114
  • Faille : CVE-2018-3619
  • Risque : Modéré
  • Score CVSS : 5,3
  • Impact : Divulgation d'information
  • Description : Le chiffrement d'un support de stockage peut être contourné et une partie des données dérobées lorsqu'un module de mémoire Optane Memory est utilisé.
  • Produits concernés : Processeurs Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Core X, Xeon E, Optane Memory
  • Correctif proposé : Utilisation du service Microsoft BitLocker au lieu d'un logiciel tiers et activation de BitLocker avant la configuration de la mémoire Optane.

Mise à jour de sécurité cumulative pour l'Active Management Technology 9.x/10.x/11.x

  • Bulletin : INTEL-SA-00112
  • Faille : CVE-2018-3628, CVE-2018-3629, CVE-2018-3632
  • Risque : Important
  • Score CVSS : 6,4, 7,5, 8,1
  • Impact : Elévation de privilèges
  • Description : De nouvelles vulnérabilités ont été découvertes au niveau de la technologie AMT et du firmware Converged Security Management Engine (CSME).
  • Produits concernés : Processeurs Core 2 Duo vPro, Core 1st Gen (Arrandale/Clarkdale), Core 2nd Gen (Sandy Bridge), Core 3rd Gen (Ivy Bridge), Core 4th Gen (Haswell), Core 5th Gen (Broadwell), Core 6th Gen (Skylake), Core 7th Gen (Kaby Lake), Core 8th Gen (Coffee Lake), Xeon E3-1200 v5, Xeon E3-1200 v6, Xeon Scalable, Xeon W
  • Correctif proposé : Mise à jour du firmware CSME.

Mise à jour de la stratégie Direct Connect Interface (DCI)

  • Bulletin : INTEL-SA-00127
  • Faille : CVE-2018-3652
  • Risque : Important
  • Score CVSS :
  • Impact : Elévation de privilèges
  • Description : Des restrictions dans certains réglages UEFI permettent à un assaillant physique d'accéder à des données sensibles de la plateforme.
  • Produits concernés : Processeurs Xeon E3 v5 (Skylake), Xeon E3 v6 (Kaby Lake), Xeon D (Skylake-D), Xeon Scalable (Purley), Atom C (Denverton)
  • Correctif proposé : Désactivation du contrôle DCI dans le code source C.

Actualité publiée par Julien Sambourg le jeudi 12 juillet 2018 à 17:13
Il y a 1 commentaire sur cette actualité
Marque associée : Intel
Catégories associées : Carte mère Processeur Solid-State Drive (SSD)
Flux RSS des actualités TousLesDrivers.com


Actualités relatives
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
25/03/24 Samsung publie Magician 8.1 pour les SSD, clés USB et cartes mémoire
21/03/24 Drivers AMD 24.3.1 pour Horizon Forbidden West Complete Edition et nouveaux profils HYPR-RX
11/03/24 Faille de sécurité corrigée dans PrivateAccess 6.4.10 pour les clés USB SanDisk
04/03/24 Nouvelle application ZEUS CAST pour les ventilateurs GAMDIAS
01/03/24 Une édition du pilote AMD Software : Adrenalin Edition 24.2.1 spécifique pour HELLDIVERS 2
28/02/24 Avec la version 101.5333, Intel réunifie son pilote Arc Graphics
28/02/24 Quelques correctifs à venir dans le pilote AMD Software 24.3.1
27/02/24 Drivers AMD Software : Adrenalin Edition 24.2.1 pour Nightingale et Skull and Bones
05/02/24 Le logiciel Samsung Magician 8.0.1 corrige une vulnérabilité
01/02/24 Realtek met à jour son pilote High Definition Audio en version R2.83 !
30/01/24 L'AMD Fluid Motion Frames finalisé dans les drivers 24.1.1 (23.40)
12/01/24 Nouveau pilote RAID NVMe/SATA 5.12 pour les chipsets et CPU AMD Ryzen
08/01/24 Le plein de mises à jour logicielles pour les SSD ADATA et XPG
29/12/23 Une nouvelle boîte à outils SSD DC Toolkit 3.0 pour les SSD Samsung Data Center
Annonces

Fichiers relatifs
11/04/24 ASRock APP Shop 2.0.0.4
05/04/24 Kingston Acronis True Image 2024 for Kingston 27.0.1.40936
04/04/24 Micron Storage Executive 10.01.012024.00
04/04/24 Micron Storage Executive Command Line Interface 10.01.012024.00
03/04/24 Kingston SSD Manager 1.5.4.5
31/03/24 Silicon Power SP ToolBox 4.0.8 D1 build 14
31/03/24 Intel mesa 3D 24.0.4
31/03/24 Intel Arc Pro Graphics 101.5319/101.5321 WHQL
31/03/24 Intel Arc Graphics 101.5382 WHQL
25/03/24 Samsung Magician 8.1.0.800
15/03/24 AMD Chipset Drivers 6.02.07.2300 WHQL
14/03/24 Crucial Storage Executive 10.01.012024.00
06/03/24 ZHITAI Smart Tool TiPlus7100 3.1 build 2
04/03/24 ASRock RGB LED 2.0.171
26/02/24 Apacer CoreRescue 1.1.4.0110
Annonces

Dossiers relatifs
Boîte à outils SanDisk SSD Dashboard
Les Solid-State Drive (SSD) bénéficient régulièrement de mises à jour de leur logiciel interne (firmware) afin d'améliorer leurs performances et leur compatibilité. Pour effectuer cette mise à jour simplement, SanDisk propose l'application SSD Dashboard qui offre également bien d'autres fonctionnalités de maintenance et d'optimisation que nous vous présentons dans ce dossier.

Guide de mise à jour des SSD
Les SSD sont véritablement à l'heure actuelle le meilleur moyen de booster les performances d'un ordinateur. Pourtant, pour profiter au mieux d'un tel matériel, il est souvent nécessaire que son firmware soit mis à jour. Voici un guide qui explique pas à pas comment réaliser cette opération.