29/01/20
Компания Intel в третий раз за год выпустит патчи для уязвимостей класса Zombieload в своих процессорах. Уязвимости (CVE-2020-0548 и CVE-2020-0549) связаны с технологией Microarchitectural Data Sampling (MDS), позволяющей использовать преимущества механизма спекулятивного исполнения, реализованного в процессорах Intel для повышения скорости обработки данных.
Как сообщила Intel, новое обновление, которое будет доступно «в ближайшие недели», призвано обеспечить защиту от методов эксплуатации MDS-уязвимостей в процессорах Intel, оставшихся актуальными даже после выпуска исправлений в мае и ноябре 2019 года. Исследователи безопасности еще год назад предупредили Intel о более опасной из двух проблем — именно ее компания пытается исправить сейчас, а в мае прошлого года техногиганту был предоставлен PoC-код для данной уязвимости.
В отличие от предыдущих проблем, исправленных в ноябре 2019 года, одна из уязвимостей (CVE-2020-0549) под названием L1D Eviction Sampling не может быть проэксплуатирована на более новых процессорах Intel. Злоумышленник также не может выполнить атаку с помощью web-браузера. Проблема получила оценку в 6,5 балла по шкале CVSS. Данная уязвимость «практически не затрагивает» виртуальные среды, в которых применяются меры по устранению неисправностей терминала L1.
Вторая уязвимость (CVE-2020-0548) получила оценку в 2,8 балла по шкале CVSS, поскольку ее сложно проэксплуатировать, и злоумышленнику необходимо сначала пройти аутентификацию в целевой системе.
