Múltiples vulnerabilidades en SGX de Intel

Fecha de publicación 20/03/2018
Importancia
4 - Alta
Recursos Afectados
  • Productos desarrollados con el kit de desarrollo (SDK) Intel Softwar Guard Extensions (SGX):
    • Versiones 2.12 y anteriores para Linux.
    • Versiones 1.9.6 y anteriores para Windows.
  • Intel Software Extension Platform Software Component en versiones 1.9.105.42329 y anteriores
Descripción

Se han encontrado dos vulnerabilidades en SGX de Intel, una de criticidad alta y otra de criticidad media. Estas vulnerabilidades podrían permitir a un usuario local el acceso a información no autorizada, la elevación de privilegios y la ejecución de código arbitrario.

Solución

Intel ha puesto a disposición de los usuarios diversas medidas para solucionar las vulnerabilidades según las necesidades:

  • Actualizar SGX  SDK:
  • Los desarrolladores deberán recompilar y reeditar sus enclaves (regiones de memoria privada) tras la aplicar el parche de seguridad.
  • Si los desarrolladores han empleado los atributos "string"  y/o "sizefunc" en la interfaz de sus enclaves, deberán revisar la guía técnica y determinar  cuales deben recompilar tras la actualización.
  • Información adicional en el siguiente whitepaper.
Detalle

La vulnerabilidad de criticidad alta podría permitir la elevación de privilegios a un usuario local y la ejecución arbitraria de código como administrador. Se ha reservado el identificador CVE-2018-5736 para esta vulnerabilidad.

Encuesta valoración