Intel ha publicado correcciones para solucionar una falla de alta gravedad con nombre en código Reptar que afecta a sus CPU de escritorio, móviles y de servidor.
Estado
Registrado con una puntuación CVSS de 8.8, el problema tiene el potencial de «permitir una escalada de privilegios y/o divulgación de información y/o denegación de servicio a través
del acceso local».
La explotación exitosa de la vulnerabilidad también podría permitir eludir los límites de seguridad de la CPU, según Google Cloud, que lo describió como un problema derivado de
cómo el procesador interpreta los prefijos redundantes.
«El impacto de esta vulnerabilidad se demuestra cuando la explota un atacante en un entorno virtualizado multi inquilino, ya que el exploit en una máquina invitada provoca que
la máquina host falle, lo que provoca una denegación de servicio a otras máquinas invitadas que se ejecutan en el mismo host», informaron desde Google Cloud.
«Además, la vulnerabilidad podría conducir potencialmente a la divulgación de información o a una escalada de privilegios».
Investigadores de seguridad, en un análisis separado de Reptar, dijeron que se puede abusar de él para corromper el estado del sistema y forzar una excepción de verificación
automática.
Intel, como parte de las actualizaciones de noviembre de 2023, ha publicado un microcódigo actualizado para todos los procesadores afectados. La lista completa de CPU
Intel afectadas no se encuentra disponible. No hay evidencia de ningún ataque activo que utilice esta vulnerabilidad.
«Intel no espera que este problema sea encontrado por ningún software no malicioso del mundo real», dijo la compañía en una guía publicada el 14 de noviembre. «La explotación
maliciosa de este problema requiere la ejecución de código arbitrario».
La divulgación coincide con el lanzamiento de parches para una falla de seguridad en los procesadores AMD llamada CacheWarp, que permite a actores maliciosos ingresar a
máquinas virtuales protegidas por AMD SEV para escalar privilegios y obtener ejecución remota de código.
Por mayor información acceder a:
https://thehackernews.com/2023/11/zero-day-alert-lace-tempest-exploits.html
Comments are closed