Güvenlik hatası INTEL-SA-00086

Intel son zamanlarda web sitelerinde ciddi bir güvenlik açığı yayınladı . Birçok işlemci ailesi etkilenir. Bu araçları kullanarak dizüstü bilgisayarım etkilenmiş olarak tanımlandı. Ubuntu'da bu tür sorunların nasıl azaltılacağı hakkında bir fikriniz var mı?

Şimdiden teşekkürler

security intel

— Jimakos
kaynak

security.stackexchange.com/a/175725/4077 İşte algılama aracı bağlantısı ile ilgili cevap

— Grzegorz Wierzowiecki

Buna birincil cevabınız Intel makalesinin sonunda bulunur:

Intel, güncellenmiş ürün yazılımı için sistem OEM'inize bakmanızı önerir. Bu konuyla ilgili sistem üreticisi sayfalarına bağlantılar http://www.intel.com/sa-00086-support adresinde bulunabilir.

Temel olarak, bilgisayar üreticinizin güncellenmiş ürün yazılımı sağlaması gerekeceğini söylüyorlar. Benim gibi, makinenizdeki ürün yazılımını güncelleyemezseniz, sadece uzak olmayan bir zamanda intel_microcodeLinux için güncellenmiş bir paketin mevcut olacağını umabiliriz .

Bunun genel olarak Ubuntu veya Linux ile ilgili olmadığını belirtmek gerekir: Sorun, bir ürün yazılımı sorunu ve işletim sistemi yerine altta yatan makine ile ilgilidir. Bunun ne kadar çabuk çözüleceği büyük ölçüde üreticinin bu soruna ne kadar ciddi yaklaştığına bağlı olacaktır. Bunu yazdığım sırada, Intel destek sayfası Dell ve Lenovo'nun beyanlarına bağlanıyor ve görünüşe göre Lenovo 2017/11/24 tarihine kadar bir güncelleme yayınlamayı planlıyor.

— Charles Green
kaynak

Bunlar, sıfırlama erişimi olan herhangi bir kodun kesme denetleyicisinin adresini ring-minus-2 bellenimi tarafından kullanılan bir aralığa ayarlamasına izin veren "adresleme karadelik" hatasıyla bağlanıyor mu? Öyleyse, istismar kodunun kök düzeyinde erişime sahip bir bellek tarayıcısının bile onu tespit edemeyeceği kadar iyi gizlenebileceğini belirtmek faydalı olabilir, ancak güvenlik açıklarını tespit edilemeyen diğer yazılımlara gizlice enjekte eder. uzaktan tetiklenene kadar. Kötü şeyler.

— supercat

@supercat Maaş derecemin çok üstünde, korkarım.

— Charles Green

@supercat Daha önce "kara delik adresleme" hatasıyla karşılaşmadım, ancak ikinci cümle doğrudur. Bu çok sorunlu.

— flindeberg

@flindeberg: Sorun, Intel'in kesme sıfırlama kodunun bir kesme kontrol modülünün adresini ayarlamasına izin vermesidir ve bellek erişimini yönlendiren donanım, belirtilen aralıktaki tüm adresleri bellek yerine o modüldeki kayıtlarla eşler. Modülün adresi, Sistem Yönetim Modu mantığının istekleri nasıl ele alması gerektiğine karar vermek için kullandığı belleği gizleyecek şekilde ayarlarsa, birçok satıcının mevcut SMM işlevleri istismar edilebilir şekilde yanlış kararlar verir. SMM mantığını düzeltmek fiziksel araçları olan biri için zor olmaz ...

— Supercat

... düzeltmeyi kurmak. Kesme denetleyicisi tarafından gizlendiğinde her zaman sıfır okuyacak bir yerde sıfırdan farklı bir değer depolamak ve sıfır dışında okuduğunu test etmek yeterli olacaktır. Sorun, birçok durumda bir son kullanıcının böyle bir yamayı yüklemesinin kolay bir yolu olmamasına rağmen, belki de delik açılabilirse, deliğin kendisini uygun bir yüklemek için kullanacak bir yalancı istismar yazmak mümkün olabilir. yama.

— supercat