Intel, víctima de tres nuevas vulnerabilidades que afectan a decenas de ordenadores

Escrito por Javier (Javisoft) López

De nuevo malas noticias para Intel, donde ya ha sido duramente castigada por múltiples vulnerabilidades, hoy sale a la luz tres más que ponen en jaque hasta 39 productos dentro de la gama NUC y Compute Stick. De nuevo, un problema de desbordamiento de buffer y una escalada de privilegios en el sistema forman un conjunto de fallos muy severos que la compañía ya está atajando.

Dos de las vulnerabilidades han conseguido una nota de 8,2 de CVSS y la tercera 8,9

vulnerability

Los fallos de seguridad que vamos a ver a continuación están considerados como críticos, y seguramente hayan acertado en esta denominación, sobre todo viendo lo que el atacante puede llegar a conseguir. Los fallos en concreto afectan a dos partes críticas de los sistemas NUC y Compute Stick: el firmware y la consola de Intel RAID 3 (RWC3), para hacer un total de 39 equipos vulnerables.

Las vulnerabilidades para los NUC han sido catalogadas como CVE-2019-11127 y CVE-2019-11128, donde la primera hace alusión a un problema de desbordamiento de búfer, permitiendo con ello la típica escalada de privilegios si estamos físicamente con el equipo.

Mientras que la segunda se debe a una validación insuficiente de la entrada que no solo puede dar lugar a otra escalada de privilegios, sino a una denegación de servicio o divulgación de información.

Estas dos vulnerabilidades se suman a otras cinco que no tuvieron tanta repercusión por ser de menor gravedad y donde ya han sido resueltas mediante la actualización del firmware de los NUC, así que si no éramos conscientes de ellas es totalmente recomendable buscar las actualizaciones de BIOS y ponernos al día.

En cuanto a la última de ellas, la que afecta al RWC3, se ha catalogado como CVE-2019-11119 (puntuación de 8,9) y afecta al sistema de consola web en su versión 4.186 y anteriores.

Según Intel, una falta de validación de la sesión en la API de servicio “puede permitir que un usuario no autenticado habilite potencialmente la escalada de privilegios a través del acceso a la red”.

Alexander Ermolov, Ruslan Zakirov y Malyutin Maksim han sido sus descubridores

Intel-vulnerability

Los investigadores Alexander Ermolov, Ruslan Zakirov y Malyutin Maksim han sido los descubridores de estas tres vulnerabilidades, donde gracias a su aviso Intel ha podido parchear a tiempo al menos la vulnerabilidad más crítica mediante una simple actualización del driver, que lógicamente es necesaria instalar para mantenernos seguros.

Cabe recordar que la consola web RAID 3 es un software basado en el control web que monitoriza, mantiene y soluciona todo lo relacionado con los RAID de Intel, ya que está específicamente diseñada para albergar grandes cargas de trabajo intensivas.

También se descubrieron varias vulnerabilidades de baja gravedad y media gravedad en varios productos de Intel, incluida la tecnología Intel Turbo Boost Max 3 (exclusiva de plataformas HEDT), la interfaz gráfica de usuario de Intel Omni-Patch Fabric Manager, Intel SGX para Linux y el software Intel ProSet / Wireless Wi-Fi.

Estas vulnerabilidades según Intel se corregirán en breve, por lo que seguirán apareciendo en los informes de los NUC hasta que se actualicen todos los drivers y programas correspondientes.

Fuente > ZDNet

Continúa leyendo
  • Varaskkar

    8,2 y 8,9 , destaca notablemente.

    • alxSoft

      Cuál es el tope en la escala??

      • Javisoft

        10

        • AsielR64

          Solo se debe preocupar cuando se alcance la escala 11. Ya que es posible que tu PC se llegue a erguir en dos patas, adoptando un aspecto robótico-humanoide, y te pregunte por Optimus Prime.

          Si no sucede eso, no hay de que preocuparse. ¯_(ツ)_/¯

      • XCARAXCЏLOX

        Diamante?

  • Kuhaku

    mas SIDA para la Intel

  • alxSoft
    • miguel pozos

      Nada más rico que refritos, y refritos del refrito.🧀👌

      • XCARAXCЏLOX

        Refrito y fundido, fundame el refrito!

      • alxSoft

        De echo.. se me antojo una orden de sushi con esas banderillas o brochetas de queso rédito! XD

  • UnUmpalumpa

    Dí que sí, y Linus actualizando su equipo a un i9 9900K, me meo.

    • XCARAXCЏLOX

      Y k tiene k ver, si te refieres al Linus youtuber estadounidense, tu has visto a que infraestructuras juega el/su entorno? Ese i9 ni se lo habrá comprado, ni habrán mandado a ir por el, Intel se lo habrá mandado en bandeja de plata, carta de agradecimientos incluida!

      • UnUmpalumpa

        Eso ni lo dudes, es más, lo que dices es totalmente contrastable porque él mismo dijo que veía a AMD como una muy buena opción de compra, ya que es consciente de su posible reinado en este sector si los Ryzen 3000 son tan buenos como parece que van a ser.

        Lo que he comentado es algo satírico, es decir, que para más índole de actualizar su ordenador a pocos meses de los Ryzen 3000, va y resulta que tienen un fallo de seguridad más, por si no fuera suficiente. Comprensión lectora señores, comprensión lectora.

  • Justo Vera

    A estas alturas los buffets de abogados estarán buscando consumidores para hacer demandas colectivas a Intel

    • XCARAXCЏLOX

      Y poco harán, ni saldrán noticias, les compraran a i9es o Ryzens si hace falta

  • Javier Saove

    Por el momento, AMD es la unica marca que considerare a la hora de actualizar. El tema de la seguridad me parece muy importante ya que suelo usar homebanking, billeteras virtuales etc.

    • XCARAXCЏLOX

      Es k es la “única” alternativa x86 k hay, decente al menos! VIA está más muerta k lo está huabuey para Trump

  • EduardRay

    Último Intel que compro

    • XCARAXCЏLOX

      Lo dudo, si sacan un 10nm o peor (aun para AMD) un 7nm reventaran AMD, guste o disguste, eso si, para pulir eso, o se deja de espectros (fantasmagorias) y suben cotes tmb o a la mierda que va! Capital tienen, no me sorprendería k mejoren la forma de contacto de los transistores, el trigate ese o k se yo (así creo recordar k lo llamaban hace años), antes k bajar nm en si, si tanto se quejan k les cuesta hacerlo

      • EduardRay

        Me da completamente igual, paso de esta empresa de quesos, refritos y engañabobos, cuando se que obsoleto el i7 que tengo compro el ryzen de turno

  • jacqlittle

    El enlace de la fuente no me carga, da error, ¿esas vulnerabilidades se pueden hacer en remoto o hay que tener acceso físico al ordenador?

  • juangose

    Intel tiene que cambiar su logo por un colador de los chinos xD

  • Rubén LP

    Entre las vulnerabilidades de Intel, que AMD sigue siendo con las mismas en Zen2 que lo era con Zen y ahora también las de la memoria RAM…estoy por jugar a las canicas

  • XCARAXCЏLOX

    Alaaa k putos u se supone que ellos tenían mas capital (a diferencia de AMD), y mes que pasa, ZAS, abujero nuebo… Mocrosoft ves actualizando ese w10, prim, que se acerca una de BSODs k FLIPAS! Entre la mierda k hizo esta y la mierda de la que presume AMD ara mismo, póngame un Mierdiatek y ya me apañaré pa meterle x86 a cañonazos si hace falta! LAMENTABLE! AGUANTE VIA! A ver si deja de moribundear! K los americanos se la pasan pipa a costa nuestra!