Publicité en cours de chargement...
Vulnérabilités Intel : des millions de machines vulnérables !
Personne ne se réjouit de la découverte de vulnérabilités (quoi que !), mais il y en a qui forcément sont encore plus perturbantes que d’autres. C’est d’autant plus le cas lorsque les vulnérabilités affectent un composant matériel, en particulier lorsqu’il s’agit de processeurs équipant la plus grande partie des ordinateurs et serveurs du marché. , l’impact est très difficile à quantifier, on peut parler de plusieurs millions de machines impactées à travers le monde : ordinateurs, serveurs, IOT.
Patcher des applicatifs, ça n’amuse personne, patcher des systèmes d’exploitation, en particulier Windows, encore moins, mais lorsqu’il s’agit de patcher des Firmwares, c’est un véritable changement de paradigme !
Une politique de « patch management », c’est souvent difficile à mettre en place dans un environnement de production. Pour les systèmes Windows et certains applicatifs, il est possible de réaliser des mises à jour automatiquement et en masse depuis un serveur distant, avec des otuils comme SCCM / WSUS par exemple. Cela est réalisable sur des postes clients. Sur des serveurs, c’est déjà beaucoup plus complexe, on ne peut pas se permettre d’installer des mises à jours sans réaliser des tests afin de s’assurer que notre « patching » n’a pas créé de nouveaux bugs sur nos applicatifs métiers. Entre les redémarrages et les tests, les serveurs sont bien évidemment, beaucoup moins souvent mis à jour, même si aujourd’hui, avec la virtualisation et le processus de « snapshot », il est beaucoup plus simple de revenir en arrière en cas de problème.
Dans le cas d’un uprade de firmware, c’est beaucoup plus délicat. Cela implique l’indisponibilité d’un serveur physique pendant un certain temps, avec un risque de « plantage » et sans la bouée de secours « snapshot ». Cela implique également de réaliser cette opération manuellement, sur l’ensemble des machines. Autant se dire, qui va réellement patcher l’intégralité de son infra et de son parc ?
Alors ces vulnérabilités Intel, qu’en est-il réellement ?
Elles sont nombreuses et affectent plusieurs outils Intel :
- Intel® Management Engine (ME) 11.x: CVE-2017-5705 , CVE-2017-5708, CVE-2017-5711, CVE-2017-5712
- Intel® Server Platform Service 4.0.x.x : CVE-2017-5706 , CVE-2017-5709
- Intel® Trusted Execution Engine (TXE) 3.0 : CVE-2017-5707 , CVE-2017-5710
Exécution de code arbitraire à distance, élévation de privilèges sur le système d’exploitation... pour faire court, c’est moche.
Matériellement, les processeurs suivants sont vulnérables :
6th, 7th, and 8th generation Intel® Core™ Processor Family:
Intel® Xeon® Processor E3-1200 v5 and v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel Atom® C3000 Processor Family
Apollo Lake Intel Atom® Processor E3900 series
Apollo Lake Intel® Pentium® Processors
Intel® Celeron® N and J series Processors
Les constructeurs Dell et Lenovo proposent déjà de nouvelles versions de bios pour les ordinateurs et serveurs imapctés :
Intel propose un outil (Windows & Linux) permettant de tester la vulnérabilité d’une machine :
Avez-vous apprécié ce contenu ?
A lire également.

Exploitation illicite de la base de données CIOdm : EHTRACE condamnée
21 juil. 2025 - 10:41,
Communiqué
- PHASTle 1er juillet 2025. Dans une décision sans équivoque, le Tribunal de Commerce de Bordeaux a sanctionné avec fermeté le détournement des données de la société PHAST, dans le litige qui l’opposait à EHTRACE.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...