ในเดือนนี้ Intel มีการแพตช์แก้ไขช่องโหว่กว่า 95 รายการ ในหลากหลายผลิตภัณฑ์ จึงขอแนะนำให้ผู้เกี่วข้องอัปเดตกันครับ
ไฮไลต์ที่น่าสนใจมีดังนี้
- CVE-2020-8752 – ช่องโหว่ Out-of-bound Write ใน IPv6 ของ Intel AMT และ ISM (เวอร์ชันก่อน 11.8.80, 11.22.80, 12.0.70 และ 14.0.45) โดยทำให้ผู้โจมตีผ่านทางไกลสามารถยกระดับสิทธิ์ได้ อย่างไรก็ตามเหยื่อต้องมีการตั้งค่า IPv6 เพิ่มเติมกว่าค่า Default
- CVE-2020-12321 – กระทบกับผลิตภัณฑ์ Intel Wireless Bluetooth โดยมีการจำกัดเรื่อง Buffer ได้ไม่ดีพอในเวอร์ชันก่อน 21.110 ซึ่งผู้โจมตีที่ไม่ได้พิสูจน์ตัวตนสามารถยกระดับสิทธิ์เข้าถึงจากอุปกรณ์ที่เชื่อมต่อกันได้
PLATYPLUS Side-channel Attack
ช่องโหว่ CVE-2020-8694 และ CVE-2020-8695 หรือ PLATYPLUS ถูกเปิดเผยโดยกลุ่มนักวิจัยที่ชี้ว่าสามารถลอบขโมยข้อมูลจาก Running Average Power Limit (RAPL) Interface ซึ่งปกติแล้วใช้เพื่อดูและจัดการพลังงานของ CPU และ DRAM ทั้งนี้การรู้ข้อมูลดังกล่าวทำให้คนร้ายสามารถทราบไปถึงคำสั่งที่ประมวลผลโดย CPU และขโมยข้อมูลในหน่วยความจำต่อไป โดยนักวิจัยมีการสาธิตใช้ PLATYPLUS เพื่อขโมยคีย์ AES-NI จาก Intel SGX ตามวีดีโอด้านล่าง
สำหรับแนวทางแก้ไข Microsoft ได้ปล่อยแพตช์ Microcode อัปเดตให้กับผู้ใช้ Windows แล้วเช่นใน 20H2 หรือ 1903/1909 และอื่นๆ นอกจากนี้ในแพตชช์ชุดนี้ยังมีช่องโหว่อื่นๆ อีกมากมาย ท่านสามารถติดตามเพิ่มเติมได้ทั้งหมดที่นี่