Intel ha lanzado actualizaciones de software y firmware que solucionan vulnerabilidades que permitirían a un atacante realizar escalamiento de privilegios, acceder a información sensible y denegación de servicio (DoS).
Las vulnerabilidades reportadas se componen de 18 (dieciocho) de severidad “Alta”, 50 (cincuenta) de severidad “Media” y 7 (siete) de severidad “Baja”. Entre las que se destacan las siguientes:
- CVE-2021-0103 de criticidad alta, con una puntuación de 8.2. Esta vulnerabilidad se debe a una falla de un componente del firmware sobre el control de flujo de datos. La explotación de esta vulnerabilidad permitiría a un atacante local con privilegios bajos realizar un escalamiento de privilegios. Los productos afectados se pueden visualizar en la siguiente lista.
- CVE-2022-21203 de criticidad alta, con una puntuación de 8.8. Esta vulnerabilidad se debe a un error en los permisos del controlador SafeNet Sentinel. La explotación de esta vulnerabilidad permitiría a un atacante local con bajos privilegios realizar un escalamiento de privilegios. El software afectado es el Intel Quartus Prime Standard Edition versiones anteriores a la 21.1.
- CVE-2021-33137 de criticidad alta, con una puntuación de 7.8. Esta vulnerabilidad se debe a un error de escritura Out-of-bounds en el código fuente del proyecto Intel Kernelflinger. La explotación de esta vulnerabilidad permitiría a un atacante local con bajos privilegios realizar un escalamiento de privilegios. Las versiones del proyecto afectadas son las anteriores al commit con id 5081b436def045e3fad5debe0a7ffcf8456b1579 del lunes 28 de enero.
- CVE-2021-33113 de criticidad alta, con una puntuación de 7.1. Esta vulnerabilidad se debe a un error en la validación de datos de entrada de un componente desconocido. La explotación de esta vulnerabilidad permitiría a un atacante realizar denegación de servicio (DoS). Los productos afectados son Intel(R) PROSet/Wireless WiFi y Killer(TM) WiFi.
Algunos de los productos o software afectados son:
- Intel Trace Analyzer and Collector versiones anteriores a la 2021.5.
- Intel Advisor software versiones anteriores a la 2021.2.
- Intel Capital Global Summit Android App todas las versiones.
- Intel Smart Campus Android application versiones anteiores a la 6.1.
- Intel® Dual Band Wireless-AC 8260.
- Intel® Dual Band Wireless-AC 3168.
- Intel® Wireless 7265 (Rev D) Family.
- Intel® Dual Band Wireless-AC 3165.
- Killer™ Wi-Fi 6E AX1675.
- Killer™ Wi-Fi 6 AX1650.
- Intel IPP Crypto library versiones anteriores a la 2021.2.
- Intel® RealSense™ DCM software versiones anteriores a la 20210625.
Para una lista completa de los productos y software afectados visualizar la siguiente lista.
Se recomienda instalar las actualizaciones correspondientes a los productos afectados proveídas por Intel.
Referencias:
- https://www.securityweek.com/intel-software-and-firmware-updates-patch-18-high-severity-vulnerabilities
- https://www.intel.com/content/www/us/en/security-center/default.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33137
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33113
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21203
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0103