Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Intel

Fecha de publicación 17/01/2018
Importancia
4 - Alta
Recursos Afectados
  • Nombre en clave: Dawson Canyon, nombre de modelo: NUC7i3DN NUC7i5DN
  • Nombre en clave: Maple Canyon, nombre de modelo: NUC5i3MY y NUC5i5MY
  • Plataformas Mobile, Desktop, Server, Workstation y Embedded basadas en procesadores Intel® Core™ y Atom™ con un procesador gráfico que use un controlador identificado.
Descripción

Se han publicado dos vulnerabilidades, una de ellas de severidad alta, que podrían permitir a un atacante el cálculo de la clave secreta RSA o la ejecución de código con privilegios elevados en los productos afectados.

Solución
  • Para la vulnerabilidad del uso del algoritmo "Fast Prime":

En el siguiente el sitio puede ver detalles sobre los parches de Microsoft que solucionan esta vulnerabilidad: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012. Si se requiriera una actualización de firmware del producto afectado, puede visitar el siguiente sitio `para obtener asistencia: https://www.intel.com/content/www/us/en/support.html.

  • Para la vulnerabilidad de ruta de búsqueda no confiable:

Actualice los controladores de su dispositivo gráfico afectado a la última versión en intel.com.

Detalle
  • Varios investigadores de la Universidad Masaryk en la República Checa, han desarrollado recientemente una metodología que permite analizar y explotar vulnerabilidades en algoritmos de aceleración de selección de números primos. Actualmente, un atacante que usara dicha metodología podría obtener una clave RSA de 2048 bits con un esfuerzo de 50 CPU-años de media. Se ha reservado el identificador CVE-2017-15361 para este aviso.
  • Un atacante podría explotar la vulnerabilidad de ruta de búsqueda no confiable, pudiendo llegar a ejecutar código con privilegios elevados. Se ha reservado el identificador CVE-2017-5696 para esta vulnerabilidad.