Intel, Yazılım Koruma Uzantılarında (SGX) keşfedilen birden çok güvenlik açığını giderdi ve şimdi kullanıcıları yamayı mümkün olan en kısa sürede uygulamaya çağırıyor.
Kusurlar, Xeon işlemciler, ağ bağdaştırıcıları ve yazılım dahil olmak üzere “geniş bir Intel ürünü yelpazesini” etkiler. Beş CVE dahil olmak üzere Intel Güvenlik Merkezine toplam 31 öneri eklendi.
Bu beşinden ikisi, tehdit aktörlerinin hesaplarının sahip olduğu ayrıcalıkları hedef uç noktalarda yükseltmesine izin verebilecek ayrıcalık yükseltme güvenlik açıklarıdır. (yeni sekmede açılır) ve bunları hassas verileri dışarı sızdırmak için kullanın. Yayın, ironinin burada aşikar olduğunu ima ediyor, çünkü SGX “anklavlar olarak bilinen şifreli bellek alanlarındaki hassas verilerin güvenli bir şekilde işlenmesini sağlaması gereken” bir özellik.
Hassas verileri çalmak
CVE-2022-38090 olarak izlenen üçüncü kusur, diğerlerinin yanı sıra 3. Nesil Ölçeklenebilir Xeon işlemcileri etkileyen orta dereceli bir güvenlik açığıdır. Intel’e göre, “Intel Yazılım Koruma Uzantıları kullanılırken bazı Intel İşlemcilerde paylaşılan kaynakların uygun olmayan şekilde yalıtılması, ayrıcalıklı bir kullanıcının yerel erişim yoluyla bilgi ifşasını potansiyel olarak etkinleştirmesine izin verebilir.”
Intel’e göre yapılacak en iyi şey, cihazınızın donanım yazılımını güncellemektir.
CVE-2022-33196 olarak izlenen dördüncü güvenlik açığı, 3. Nesil Ölçeklenebilir Xeon işlemcileri ve aynı zamanda Xeon D işlemcileri de etkileyen yüksek önem düzeyine sahip bir güvenlik açığıdır. Şirket, BIOS ve mikro kod güncellemeleri biçimindeki yamaların yolda olduğunu da sözlerine ekledi.
Beşinci kusur, SGX’in yazılım geliştirme kitini (SDK) etkiler. Intel, bunun düşük önem derecesine sahip olmasına rağmen, dolandırıcıların onu hassas verileri çalmak için kullanma şansının hala olduğunu söylüyor. Bir güncelleme de yolda.
Yayın, şu anda sekizinci yılında olan SGX’in “güvenlik açıklarıyla boğuştuğunu” söylüyor ve aracın 11. ve 12. Nesil Çekirdek işlemcilerden müşteri odaklı yongalarda kullanımdan kaldırıldığını da ekliyor.
Aracılığıyla: Kayıt (yeni sekmede açılır)