
Cependant, Intel a découvert une faille sur le flash SPI dans la configuration de plusieurs séries de CPU. Ce qui constituait une porte dérobée pour des attaques malicieuses. Un attaquant exploitant cette vulnérabilité pourrait obtenir de plus grands privilèges sur un système compromis, ce qui lui permettrait potentiellement de détruire des données ou de prendre le contrôle d'ordinateurs à des fins malveillantes.
L'attaquant exploitant cette vulnérabilité pourrait avoir accès à des informations confidentielles, empêcher l'accès autorisé aux ressources informatiques ou interférer avec les opérations d'un système (déni de service). L'entreprise marque « important » le niveau d'alerte.
Selon Lenovo, « la configuration du périphérique de micrologiciel du système (flash SPI ) pourrait permettre à un attaquant de bloquer les mises à jour du BIOS/UEFI ou d'effacer ou même de corrompre de manière sélective des parties du firmware », rendant ainsi vulnérable le système d'exploitation.
Intel a toutefois corrigé cette vulnérabilité sur le flash SPI et nous donne une liste de plateformes affectées :
Intel a déployé des correctifs pour cette vulnérabilité (CVE-2017-5703) le 3 avril. Le bogue a reçu un score de gravité de 7,9 sur 10 sur l'échelle CVSS v3. Intel a déclaré avoir découvert le problème en interne. Dans son avis de sécurité, le fabricant de semi-conducteurs affirme également qu'à sa connaissance le problème n'était pas connu par quelqu'un de l'extérieur. L'entreprise recommande aussi aux utilisateurs de toujours vérifier auprès des sites de support du fabricant de leur système pour s'assurer qu'ils disposent des mises à jour de sécurité les plus récentes.
Source : Intel, lenovo
Et vous ?
