February 17, 2020

Language:

CamSA20-03: ចំនុចខ្សោយជាច្រើនប៉ៈពាល់ទៅដល់ Intel Central Processing Units (CPUs)

១. ព័ត៌មានទូទៅ

ក្រុមហ៊ុន Intel បានធ្វើការប្រកាសជាសាធារណៈនូវចំនុចខ្សោយចំនួន ០៦ មាននៅក្នុងផលិតផល Central Processing Units របស់ខ្លួន ដែលក្នុងនេះមានចំនុខ្សោយចំនួន ០២ មានកម្រិតធ្ងន់ធ្ងរខ្លាំងរួមមាន កាលពីថ្ងៃទី១៤ ខែមករា ឆ្នាំ២០២០៖

  • CVE-2019-14613 (INTEL-SA-00325): ចំនុចខ្សោយនេះកើតមាននៅក្នុង Intel VTune Amplifier សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Window ដែលមានកំណែអាប់ដេតក្រោមលើកទី ៨ ដែលបានចេញផ្សាយដោយ Intel។ ដោយការគ្រប់គ្រងមិនប្រក្រតីនៅក្នុង driver របស់ Intel VTune Amplifier អាចបង្កឱ្យអ្នកវាយប្រហារ​ដែលបានផ្ទៀងផ្ទាត់ភាពត្រឹមចូលប្រព័ន្ធ (authenticated attacker) ធ្វើការវាយប្រហារ និងបង្កើនសិទ្ធ (privileged ecalation) តាមរយៈ local access
  • CVE-2019-14615 (INTEL-SA-00314): ចំនុចខ្សោយនេះកើតមាននៅក្នុង Intel Processor Graphics ដោយសារតែមាន control flow មិនគ្រប់គ្រាន់ នៅក្នុង data structure នៃ processors អាចបង្កទៅជាការគេងប្រវ័ញ (exploit) លើប្រព័ន្ធ ដោយអ្នកវាយប្រហារដែលមិនមានសិទ្ធចូលប្រព័ន្ធ (unauthenticated user)។ ចំនុចខ្សោយនេះមាននៅលើ graphic driver ដែលប្រើប្រាស់នៅលើប្រព័ន្ធប្រតិបតិ្តការ Window និង Linux ដោយបានប៉ះពាល់ទៅលើ processors ជាច្រើន។

ផលិតផលដែលទទួលរងគ្រោះរួមមានដូចខាងក្រោម៖

CVE-2019-14613

  • Intel VTune Amplifier for Windows before update 8

CVE-2019-14615

  • 3rd Generation Intel Core Processors *, 4th Generation Intel Core Processors *
  • 6th Generation Intel Core Processors, 7th Generation Intel Core Processors
  • 8th Generation Intel Core Processors, 9th Generation Intel Core Processors
  • 10th Generation Intel Core Processors, Intel Xeon Processor E3 v2 Family *
  • Intel Xeon Processor E3 v3 Family *, Intel Xeon Processor E3 v5 Family
  • Intel Xeon Processor E3 v6 Family, Intel Xeon Processor E-2100 Family
  • Intel Xeon Processor E-2200 Family, Intel Pentium Processor A1000 Series *
  • Intel Pentium Processor 2000 Series *,Intel Pentium Processor 3500 Series *
  • Intel Pentium Processor 4000 Series, Intel Pentium Processor G2000 Series *
  • Intel Pentium Processor G3000 Series *,Intel Pentium Processor G4000 Series
  • Intel Pentium Processor J2000 Series *, Intel Pentium Processor J3000 Series
  • Intel Pentium Processor J4000 Series, Intel Pentium Processor N3500 Series *
  • Intel Pentium Processor N3700 Series, Intel Pentium Processor N4000 Series
  • Intel Pentium Processor Silver Series, Intel Pentium Processor Gold Series
  • Intel Celeron Processor 927UE *,Intel Celeron Processor 1000 Series *
  • Intel Celeron Processor 2000 Series, Intel Celeron Processor 3800 Series
  • Intel Celeron Processor 3900 Series, Intel Celeron Processor 4000 Series
  • Intel Celeron Processor 5000 Series, Intel Celeron Processor G1000 Series *
  • Intel Celeron Processor G3000 Series, Intel Celeron Processor G4000 Series
  • Intel Celeron Processor J1000 Series *, Intel Celeron Processor J3000 Series
  • Intel Celeron Processor J4000 Series, Intel Celeron Processor N2000 Series *
  • Intel Celeron Processor N3000 Series, Intel Celeron Processor N4000 Series
  • Intel Celeron Processor G3900 Series, Intel Celeron Processor G4900 Series
  • Intel Atom Processor A Series, Intel Atom Processor E Series *
  • Intel Atom Processor X Series, Intel Atom Processor Z Series *

សម្រាប់ព័ត៌មានលម្អិតពីដែលចេញផ្សាយដោយ Intel សូមចូលទៅកាន់៖
https://www.intel.com/content/www/us/en/security-center/default.html

៣.ផលវិបាក

CVE-2019-14613: ការវាយប្រហារដោយជោគជ័យលើចំនុចខ្សោយនេះ អាចអនុញ្ញាតិឱ្យអ្នកវាយប្រហារដែលបាន​ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវចូលប្រព័ន្ធ (authenticated attacker) ធ្វើការវាយប្រហារ និងបង្កើនសិទ្ធ (privileged escalation) តាមរយៈ local access

CVE-2019-14615: ការវាយប្រហារដោយជោគជ័យលើចំនុចខ្សោយនេះ អាចអនុញ្ញាតិឱ្យអ្នកវាយប្រហារដែលមិនបាន​ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវចូលប្រព័ន្ធ (unauthenticated user)

៤. ការណែនាំ

អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រងដែលប្រើប្រាស់ផលិតផលរបស់ Intel សូមធ្វើការអាប់ដេតជាបន្ទាន់។

៥. សម្រាប់ព័ត៌មានបន្ថែម

  • https://www.intel.com/content/www/us/en/security-center/default.html
  • https://www.csa.gov.sg/singcert/alerts/security-patches-released-by-intel

 

 

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.