Intel Mengungkapkan 77 Kerentanan Baru yang Ditemukan Dalam Beberapa Komponen Perangkat Keras Seperti CPU, Pengontrol Ethernet, dan Lainnya
Intel telah secara ekstensif mencari kerentanan keamanan dalam komponen perangkat keras arus utama. Bulan ini tampaknya agak mengkhawatirkan karena pembuat chip tersebut mengklaim telah menemukan lebih dari 70 bug, kekurangan, dan celah keamanan dalam beberapa produk dan standar. Kebetulan, sebagian besar bug ditemukan oleh Intel selama "Pengujian Internal", sementara beberapa ditemukan oleh mitra dan agensi pihak ketiga.
Intel Security Advisory, buletin bulanan, adalah tempat penyimpanan yang sangat dihormati yang mencatat pembaruan keamanan, topik hadiah bug, penelitian keamanan baru, dan aktivitas keterlibatan dalam komunitas penelitian keamanan. Security Advisory bulan ini penting karena banyaknya kerentanan keamanan yang diklaim Intel telah ditemukan dalam produk komputasi dan jaringan yang biasa digunakan. Tidak perlu ditambahkan, sebagian besar saran bulan ini ditujukan untuk masalah yang ditemukan secara internal oleh Intel. Mereka adalah bagian dari proses Intel Platform Update (IPU). Intel dilaporkan bekerja dengan sekitar 300 organisasi untuk mempersiapkan dan mengoordinasikan peluncuran pembaruan ini.
Intel Mengungkapkan 77 Kerentanan Keamanan Tetapi Belum Ada Yang Dieksploitasi Secara Liar:
Bulan ini, Intel dilaporkan telah mengungkapkan total 77 kerentanan yang berkisar dari prosesor hingga grafis dan bahkan pengontrol ethernet. Kecuali 10 bug, kekurangan lainnya ditemukan oleh Intel selama pengujian internalnya sendiri. Meskipun sebagian besar kelemahan keamanan agak kecil, dengan cakupan penerapan dan dampak yang terbatas, beberapa di antaranya dapat memiliki dampak penting pada produk Intel. Ada beberapa terkait penemuan tahun ini tentang kerentanan keamanan dalam produk Intel yang tidak hanya bisa memengaruhi keamanan tetapi juga memengaruhi kinerja dan keandalan.
Intel telah meyakinkan bahwa sedang dalam proses menambal atau memperbaiki 77 kelemahan keamanan. Namun, salah satu kekurangan, yang secara resmi diberi tag sebagai CVE-2019-0169, memiliki peringkat tingkat keparahan CVSS 9.6. Tidak perlu disebutkan lagi, peringkat di atas 9 dianggap 'Kritis', yang merupakan tingkat keseriusan tertinggi. Saat ini, halaman web khusus untuk bug tidak menawarkan detail apa pun, yang mengindikasikan Intel menahan informasi untuk memastikan kerentanan keamanan tidak dapat diadopsi dan dieksploitasi.
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
Rupanya, CVE-2019-0169 tampaknya berada di Intel Management Engine atau salah satu subkomponennya, termasuk Intel CSME, yang merupakan chip mandiri pada CPU Intel yang digunakan untuk manajemen jarak jauh. Jika diterapkan atau dieksploitasi dengan benar, kerentanan dapat memungkinkan orang yang tidak berwenang untuk mengaktifkan eskalasi hak istimewa, mengorek informasi atau menyebarkan serangan penolakan layanan melalui akses yang berdekatan. Batasan utama dari exploit adalah membutuhkan akses fisik ke jaringan.
Kerentanan keamanan lain dengan peringkat CVSS 'Penting' ada di subsistem Intel AMT. Secara resmi diberi tag sebagai CVE-2019-11132, bug tersebut dapat memungkinkan pengguna yang memiliki hak istimewa untuk mengaktifkan eskalasi hak istimewa melalui akses jaringan. Beberapa kerentanan keamanan penting lainnya dengan peringkat 'Keparahan Tinggi' yang ditangani Intel termasuk CVE-2019-11105, CVE-2019-11131 CVE-2019-11088, CVE-2019-11104, CVE-2019-11103, CVE- 2019-11097, dan CVE-2019-0131.
Bug 'JCC Erratum' Berdampak pada Sebagian Besar Prosesor Intel yang Dirilis Baru-Baru Ini:
Kerentanan keamanan, yang disebut 'JCC Erratum' agak mengkhawatirkan terutama karena dampaknya yang meluas. Bug ini tampaknya ada di sebagian besar prosesor Intel yang baru-baru ini dirilis, termasuk Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whiskey lake, Comet Lake, dan Kaby Lake. Kebetulan, tidak seperti beberapa kekurangan yang ditemukan sebelumnya, bug ini dapat diatasi dengan pembaruan firmware. Intel mengklaim menerapkan pembaruan dapat sedikit menurunkan kinerja CPU antara 0 dan 4%. Phoronix dilaporkan menguji dampak kinerja negatif setelah menerapkan mitigasi Erratum JCC dan menyimpulkan bahwa pembaruan ini akan berdampak pada pengguna PC yang lebih umum daripada mitigasi perangkat lunak Intel sebelumnya.
Intel telah memastikan bahwa tidak ada serangan dunia nyata yang dilaporkan atau dikonfirmasi yang didasarkan pada kerentanan keamanan yang ditemukan. Secara kebetulan, Intel dilaporkan telah mempersulit untuk mengetahui dengan tepat CPU mana yang aman atau terpengaruh.