Suite à une divulgation de sécurité par Intel en juin de l’année dernière concernant des vulnérabilités affectant ses processeurs, Microsoft a publié une série de correctifs hors bande pour les failles.
En tout, Intel a révélé les détails de quatre failles de puce exposant les données (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 et CVE-2022-21166) décrites collectivement comme Processor MMIO (memory-mapped I/O) Stale Data Vulnerabilities. Microsoft a maintenant publié un total de six mises à jour d’urgence pour différentes versions de Windows 10, Windows 11 et Windows Server.
Voir aussi :
Intel explique la nature du problème :”Processeur MMIO Les vulnérabilités de données obsolètes sont une classe de vulnérabilités d’E/S mappées en mémoire (MMIO) qui peuvent exposer des données. Les séquences d’opérations pour exposer les données vont de simples à très complexes. Étant donné que la plupart des vulnérabilités nécessitent que l’attaquant ait accès à MMIO, de nombreux environnements ne sont pas affectés”.
La société poursuit sur expliquer :
Environnements système utilisant la virtualisation où l’accès MMIO est fourni à des invités non approuvés peut nécessiter une atténuation.
Les extensions Intel Software Guard (Intel SGX) peuvent nécessiter une atténuation.
Ces vulnérabilités ne sont pas des attaques d’exécution transitoires. Cependant, ces vulnérabilités peuvent propager des données obsolètes dans les tampons de remplissage de base où les données peuvent ensuite être déduites par une attaque d’exécution transitoire non atténuée.
L’atténuation de ces vulnérabilités comprend une combinaison de mises à jour de microcode et de modifications logicielles, en fonction de la plate-forme et modèle d’utilisation. Certaines de ces atténuations sont similaires à celles utilisées pour atténuer Échantillonnage de données microarchitecturales (MDS) ou ceux utilisés pour atténuer Échantillonnage de données de tampon de registre spécial (SRBDS).
Les six mises à jour doivent être téléchargées manuellement à partir du catalogue Microsoft Update. Voici les liens pour chacune des éditions du système d’exploitation concernées :
Crédit d’image : monticello/depositphotos