#faillespourtous; une poignée de vulnérabilités frappe NUC et Shield TV |
————— 14 Octobre 2019 à 10h13 —— 6890 vues
#faillespourtous; une poignée de vulnérabilités frappe NUC et Shield TV |
————— 14 Octobre 2019 à 10h13 —— 6890 vues
La semaine dernière, le NUC d'Intel et la Shield TV de NVIDIA ont tous deux pris du CVE dans l'aile, deux chacun pour ne pas faire de jaloux ! Intel a prévenu que ses appareils NUC sont à des défauts classés comme sévères, et NVIDIA en a fait de même pour son lecteur streaming multimédia.
Côté NUC, les vulnérabilités en question du firmware système sont CVE-2019-14569 et CVE-2019-14570, respectivement un bug de corruption de pointeur et une corruption de la mémoire. Tous les deux permettent potentiellement plus ou moins la même chose, c'est-à-dire une escalade des privilèges, un déni de service et une divulgation d'informations via accès local. Les vulnérabilités ont également obtenu un même score de 7,5 sur 10 et une sévérité classée "élevé" selon l’échelle du Common Vulnerability Scoring System (CVSS).
Les produits affectés sont les suivantes : NUC 8 Mainstream Game Kit et Mini Computer, NUC Board DE3815TYBE, NUC Kit DE3815TYKHE et DN2820FYKH. Il est évidemment recommandé de mettre à jour le système ont installant le dernier firmware mis à jour; pour ce faire et pour plus d'informations, c'est par ici ! Ces nouvelles vulnérabilités et leur correctif se rajoutent naturellement à la (longue) liste en la matière depuis le tsunami Spectre, mais aussi aux autres déjà découvertes en juin et en aout. Sortez couvert !
Chez NVIDIA, les risques des failles sont assez identiques et peuvent conduire à la divulgation d'informations, un déni de service, l’exécution de code ou encore l’escalade des privilèges. Au sein de la Shield TV des verts, il s'agit des CVE-2019-5699 et CVE-2019-5700. La première touche (encore une fois) le bootloader Tegra par l'intermédiaire d'une vérification faussée des limites, pouvant entraîner un débordement de la mémoire tampon, puis une escalade de privilège et l’exécution d'un code.
La seconde a toujours pour victime le bootloader (décidément), où les champs de l'image de démarrage ne sont pas validés et sont ainsi soumis à tous les risques mentionnés auparavant. Les deux failles ont obtenu un même score CVSS de 7,6 sur 10. Selon NVIDIA, toutes les versions du logiciel Shield Experience antérieures à 8.0.1 sont concernées, mais il suffit d'une mise à jour vers la version la plus récente pour se protéger...en attendant la suite ? (Source)
Ouf, ça va mieux !