Intel ha dado la señal de alerta ante una vulnerabilidad crítica en el motor de seguridad CSME. Además los de Santa Clara han instado a los usuarios a aplicar una corrección, ahora disponible, lo más rápido posible.
Intel Converged Security and Management Engine (CSME) es un subsistema del chipset que impulsa las tecnologías de administración activa de Intel.
Intel se vuelve a enfrentar a un problema de seguridad
Según un aviso de seguridad publicado el martes, CSME está sujeto a una vulnerabilidad de firmware, que fue encontrada por el equipo de seguridad de Intel. Si se explota permite a los atacantes a conseguir privilegios, la denegación de servicio y la información ataques de divulgación.
Identificada como CVE-2019-14598, la vulnerabilidad ha sido galardonada con una puntuación base CVSS de 8.2, que considera que el problema es crítico: la calificación de mayor gravedad.
Intel ha lanzado una actualización de firmware para mitigar la vulnerabilidad, que afecta a las versiones de CSME anteriores a 12.0.49, 13.0.21 y 14.0.11.
«Intel recomienda actualizar a las versiones de CSME 12.0.49, 13.0.21 y 14.0.11 o posterior proporcionadas por el fabricante del sistema que aborda estos problemas», dice el gigante tecnológico. «Intel recomienda a los clientes de IOT que utilicen la versión 12.0.55 de CSME que actualicen a 12.0.56 o posterior proporcionada por el fabricante del sistema que solucione estos problemas.
La primera vulnerabilidad, CVE-2020-0562, afecta a todas las versiones de RWC2 y se le ha dado una puntuación base de 6.7, clasificando el error como de gravedad media. Los usuarios locales y autenticados pueden aprovechar la falla para escalar sus privilegios; sin embargo, Intel no parcheará el problema.
Intel también ha marcado el problema de seguridad como de gravedad media, CVE-2020-0560, pero la empresa no emitirá un parche. Este error afecta al controlador USB 3.0 de Intel Renesas Electronics y permite la escalada de privilegios en todas las versiones.
«[Intel] recomienda que los usuarios del controlador USB 3.0 de Intel Renesas Electronics lo desinstalen o descontinúen su uso lo antes posible,» dice el gigante tecnológico.
Intel también ha resuelto una vulnerabilidad de baja gravedad en Intel Software Guard Extensions (SGX). Seguido como CVE-2020-0561, el problema de inicialización incorrecto, emitido una puntuación base de 2.5, puede permitir a los usuarios autenticados escalar sus privilegios a través del acceso local.
Esta semana, Microsoft también publicó su actualización de seguridad mensual, y se resolvió un total de 99 vulnerabilidades, de las cuales 11 se consideraron críticas. El software, incluido Internet Explorer, el explorador perimetral, Microsoft Exchange Server y Microsoft Office, se ha incluido en la actualización.
