Intel a corrigé 132 vulnérabilités via la mise à jour CVE-2021-0133 : un rapport

Il semblerait qu’Intel ait publié 29 avis de sécurité pour résoudre 132 problèmes divers dans le micrologiciel du BIOS des processeurs Intel. Certains de ces produits concernés incluent les produits Bluetooth, les outils de technologie de gestion active et bien d’autres.

Selon Jerry Bryant, la plupart des vulnérabilités ont été découvertes en interne, grâce à la propre diligence de l’entreprise. La plupart du temps, les bogues ont été révélés via le programme de primes aux bogues d’Intel et ses propres recherches. En comparaison, les divulgations des dernières années sont principalement venues de l’extérieur et ont été signalées via le programme de primes aux bogues de divers chercheurs. Bien que l’amélioration de cette année soit principalement due au programme Security Development Lifecycle d’Intel.

Sur les 132 vulnérabilités corrigées, 56 d’entre elles ont été corrigées lors du Patch Tuesday de ce mois-ci ont été découvertes dans les composants graphiques, réseau et Bluetooth. Selon Bryant dans un article de blog : « Grâce au SDL, nous tirons les enseignements des vulnérabilités découvertes et apportons des améliorations à des éléments tels que l’analyse automatisée du code et la formation, ainsi que l’utilisation de ces informations pour informer nos événements internes de l’équipe rouge. »

L’entreprise a résolu 29 vulnérabilités qui ont été classées comme étant de gravité élevée, liées à l’escalade de privilèges. La liste comprend quatre élévations de privilèges locales dans le micrologiciel des produits CPU d’Inte, une élévation de privilèges locale dans Intel Virtualization Technology for Directed I/O, un problème d’élévation de privilèges dans Intel Security Library, un problème d’élévation de privilèges dans NUC, et bien d’autres encore. . De nombreux autres bogues graves d’escalade de privilèges ont également été trouvés dans le logiciel Intel Driver and Support Assistant et la plate-forme RealSense ID, ainsi qu’une faille de déni de service dans des contrôleurs Thunderbolt spécifiques.