BDU:2022-04966: Уязвимость реализации технологии Software Guard eXtensions (SGX) процессоров Intel, позволяющая нарушителю получить доступ к защищаемой информации

Описание уязвимости Уязвимость реализации технологии Software Guard eXtensions (SGX) процессоров Intel связана с возможностью получения доступа к неинициализированным данным, оставшимся в регистрах APIC (Advanced Programmable Interrupt Controller). Эксплуатация уязвимости может позволить нарушителю получить доступ к защищаемой информации
Вендор Intel Corp.
Наименование ПО Intel SGX SDK for Windows, Intel SGX SDK for Linux
Версия ПО
  • до 2.16.101.1 (Intel SGX SDK for Windows)
  • до 2.17.101.1 (Intel SGX SDK for Linux)
Тип ПО ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Неверная инициализация
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 09.08.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- включение режима x2APIC, который отключает страницу xAPIC MMIO и вместо этого предоставляет доступ к регистрам APIC через регистры для конкретных моделей (MSR);
- минимизация привилегий прав пользователей;
- отключение административных учетных записей.

Использование рекомендаций:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00657.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения