Intel выпустила исправления, устраняющие серьезную ошибку под кодовым названием Reptar, которая влияет на процессоры ее настольных компьютеров, мобильных устройств и серверов.
Отслеживаемая как CVE-2023-23583 (оценка CVSS: 8,8), проблема потенциально может "разрешить повышение привилегий и / или раскрытие информации и / или отказ в обслуживании через локальный доступ".
Согласно Google Cloud, успешное использование уязвимости также может позволить обойти границы безопасности процессора, что объясняется проблемой, связанной с тем, как процессор интерпретирует избыточные префиксы.
"Влияние этой уязвимости проявляется при использовании злоумышленником в многопользовательской виртуальной среде, поскольку эксплойт на гостевой машине приводит к сбою хост-машины, что приводит к отказу в обслуживании других гостевых машин, работающих на том же хосте", - сказал Фил Венейблс из Google Cloud.
"Кроме того, уязвимость потенциально может привести к раскрытию информации или повышению привилегий".
Исследователь безопасности Тавис Норманди в отдельном анализе Reptar заявил, что ею можно злоупотреблять, чтобы повредить состояние системы и вызвать исключение проверки компьютера.
Intel в рамках обновлений за ноябрь 2023 опубликовала обновленный микрокод для всех затронутых процессоров. Полный список процессоров Intel, затронутых CVE-2023-23583, доступен здесь. Нет доказательств каких-либо активных атак с использованием этой уязвимости.
"Intel не ожидает, что с этой проблемой столкнется какое-либо не вредоносное программное обеспечение реального мира", - говорится в руководстве компании, опубликованном 14 ноября. "Злонамеренное использование этой проблемы требует выполнения произвольного кода".
Раскрытие информации совпадает с выпуском исправлений для уязвимости в системе безопасности процессоров AMD под названием CacheWarp (CVE-2023-20592), которая позволяет злоумышленникам проникать в виртуальные машины, защищенные AMD SEV, для повышения привилегий и получения возможности удаленного выполнения кода.
Отслеживаемая как CVE-2023-23583 (оценка CVSS: 8,8), проблема потенциально может "разрешить повышение привилегий и / или раскрытие информации и / или отказ в обслуживании через локальный доступ".
Согласно Google Cloud, успешное использование уязвимости также может позволить обойти границы безопасности процессора, что объясняется проблемой, связанной с тем, как процессор интерпретирует избыточные префиксы.
"Влияние этой уязвимости проявляется при использовании злоумышленником в многопользовательской виртуальной среде, поскольку эксплойт на гостевой машине приводит к сбою хост-машины, что приводит к отказу в обслуживании других гостевых машин, работающих на том же хосте", - сказал Фил Венейблс из Google Cloud.
"Кроме того, уязвимость потенциально может привести к раскрытию информации или повышению привилегий".
Исследователь безопасности Тавис Норманди в отдельном анализе Reptar заявил, что ею можно злоупотреблять, чтобы повредить состояние системы и вызвать исключение проверки компьютера.
Intel в рамках обновлений за ноябрь 2023 опубликовала обновленный микрокод для всех затронутых процессоров. Полный список процессоров Intel, затронутых CVE-2023-23583, доступен здесь. Нет доказательств каких-либо активных атак с использованием этой уязвимости.
"Intel не ожидает, что с этой проблемой столкнется какое-либо не вредоносное программное обеспечение реального мира", - говорится в руководстве компании, опубликованном 14 ноября. "Злонамеренное использование этой проблемы требует выполнения произвольного кода".
Раскрытие информации совпадает с выпуском исправлений для уязвимости в системе безопасности процессоров AMD под названием CacheWarp (CVE-2023-20592), которая позволяет злоумышленникам проникать в виртуальные машины, защищенные AMD SEV, для повышения привилегий и получения возможности удаленного выполнения кода.
