Intel แพตช์ช่องโหว่กว่า 95 รายการในเดือนพฤศจิกายน

ในเดือนนี้ Intel มีการแพตช์แก้ไขช่องโหว่กว่า 95 รายการ ในหลากหลายผลิตภัณฑ์ จึงขอแนะนำให้ผู้เกี่วข้องอัปเดตกันครับ

ไฮไลต์ที่น่าสนใจมีดังนี้

• CVE-2020-8752 – ช่องโหว่ Out-of-bound Write ใน IPv6 ของ Intel AMT และ ISM (เวอร์ชันก่อน 11.8.80, 11.22.80, 12.0.70 และ 14.0.45) โดยทำให้ผู้โจมตีผ่านทางไกลสามารถยกระดับสิทธิ์ได้ อย่างไรก็ตามเหยื่อต้องมีการตั้งค่า IPv6 เพิ่มเติมกว่าค่า Default
• CVE-2020-12321 – กระทบกับผลิตภัณฑ์ Intel Wireless Bluetooth โดยมีการจำกัดเรื่อง Buffer ได้ไม่ดีพอในเวอร์ชันก่อน 21.110 ซึ่งผู้โจมตีที่ไม่ได้พิสูจน์ตัวตนสามารถยกระดับสิทธิ์เข้าถึงจากอุปกรณ์ที่เชื่อมต่อกันได้

PLATYPLUS Side-channel Attack

ช่องโหว่ CVE-2020-8694 และ CVE-2020-8695 หรือ PLATYPLUS ถูกเปิดเผยโดยกลุ่มนักวิจัยที่ชี้ว่าสามารถลอบขโมยข้อมูลจาก Running Average Power Limit (RAPL) Interface ซึ่งปกติแล้วใช้เพื่อดูและจัดการพลังงานของ CPU และ DRAM ทั้งนี้การรู้ข้อมูลดังกล่าวทำให้คนร้ายสามารถทราบไปถึงคำสั่งที่ประมวลผลโดย CPU และขโมยข้อมูลในหน่วยความจำต่อไป โดยนักวิจัยมีการสาธิตใช้ PLATYPLUS เพื่อขโมยคีย์ AES-NI จาก Intel SGX ตามวีดีโอด้านล่าง 

สำหรับแนวทางแก้ไข Microsoft ได้ปล่อยแพตช์ Microcode อัปเดตให้กับผู้ใช้ Windows แล้วเช่นใน 20H2 หรือ 1903/1909 และอื่นๆ นอกจากนี้ในแพตชช์ชุดนี้ยังมีช่องโหว่อื่นๆ อีกมากมาย ท่านสามารถติดตามเพิ่มเติมได้ทั้งหมดที่นี่ 

ที่มา : https://www.bleepingcomputer.com/news/security/intel-fixes-95-vulnerabilities-in-november-2020-platform-update/