Questa settimana Intel ha rilasciato un importante aggiornamento che corregge diverse vulnerabilità scoperte di recente nelle Software Guard Extensions (SGX), un insieme di istruzioni di sicurezza integrate nei processori del brand che hanno già mostrato problemi di integrità nel 2018, colpendo i processori Xeon e Core.
Ora, ci sono un totale di 31 nuove vulnerabilità che sono state elencate il 14 febbraio 2023. Cinque di esse sono state catalogate nel CVE e si riferiscono a violazioni della sicurezza riscontrate in SGX, coinvolgendo diversi prodotti del produttore che includono adattatori di rete e diversi modelli di processori scalabili Xeon di terza generazione.
Tra le vulnerabilità riguardanti SGX, CVE-2022-33196 è l’unica con una gravità classificata come “Alta”. Questa falla di sicurezza riguarda i processori Xeon Scalable di terza generazione e diversi modelli Xeon D. Secondo la descrizione fornita da Intel, le autorizzazioni predefinite non corrette nelle configurazioni del controller di memoria possono far sì che alcuni processori Xeon che utilizzano SGX possano violare l’escalation dei privilegi per un malintenzionato, consentendo l’esecuzione di codice arbitrario sulla macchina.
CVE-2022-38090, di gravità “media”, indica che l’isolamento non corretto delle risorse condivise sui processori abilitati a SGX potrebbe consentire a un utente privilegiato di la divulgazione di informazioni sull’hardware tramite accesso locale. Oltre a consigliare agli utenti di installare l’ultima patch fornita dal produttore del dispositivo, Intel afferma che renderà disponibili aggiornamenti del BIOS e del microcodice per i processori interessati dalle violazioni.
Un altro problema che coinvolge il meccanismo di sicurezza riguarda il proprio kit di sviluppo software (SDK). Sebbene la sua gravità sia “Bassa”, Intel avverte del rischio di divulgazione di informazioni attraverso l’accesso locale e dichiara che renderà presto disponibile un aggiornamento per questa falla. Ci sono anche vulnerabilità elencate come CVE-2022-36348 e CVE-2022-21216, che descrivono il rischio di elevazione dei privilegi su sistemi dotati di diversi modelli di processori Xeon e Atom. Come promesso per le altre falle di sicurezza, Intel promette di rilasciare presto aggiornamenti del firmware correttivi.