Des failles découvertes (et colmatées) dans un logiciel et des SSD Intel

L'aventure des failles continue chez le fondeur, forcément très exposé et directement sous les projecteurs du fait de son statut sur le marché en général, ce qui n'excuse toutefois en rien - au contraire -  les manquements sécuritaires révélés désormais régulièrement - chez les autres aussi - et ayant donc eu lieu pendant des années.

Sont concernés aujourd'hui le processeur d'un outil de diagnostic d'Intel, ainsi que des SSD pour data-center du fondeur. La faille du processeur de l'outil d'Intel a été découverte par un chercheur d'Eclypsium, Jesse Michael, et fut baptisée CVE-2019-11133 avec une sévérité de 8,2 sur 10 selon l’échelle CVSS 3.0, autrement dit, c'est assez sévère ! Son tort ? Permettre à un utilisateur authentifié d'autoriser l’escalade de privilèges, la divulgation d'information ou le déni de service via un accès local. Toutes les versions du "Processor Diagnostic Tool" antérieures à la version 4.1.2.24 sont ainsi affectées. Le bug avait été reporté immédiatement à Intel pour permettre au fondeur de préparer un patch correctif avant la publication des failles.

Découverte en interne chez Intel, la deuxième vulnérabilité se nomme CVE-2018-18095 et a obtenu une note moins élevée de 5,3 sur 10 toujours sur l’échelle de notation CVSS 3.0, soit une sévérité moyenne. La faille touche les SSD DC S4500/S4600, et plus spécifiquement ceux avec un firmware plus ancien que la version SCV10150. Via CVE-2018-18095, un utilisateur non-privilégié pourrait activer l'escalade des privilèges par un accès physique à l'interface. Là aussi, Intel a fait son travail et publié un firmware correctif.

Pour l'anecdote, cette nouvelle tournée suit la salve du mois de juin, durant lequel Intel avait révélé une multitude de failles au sein du firmware des NUC, des Compute Card/Stick et la RAID Web Console 3, des vulnerabilités toutes classées avec une sévérité élevée. La traversée du desert n'est probablement pas encore finie...