Intel z błędem bezpieczeństwa w zintegrowanym układzie graficznym

Podatność ma oznaczenie CVE-2019-14615. Opisywana jest jako związana z niewystarczającą kontrolą przepływu danych w wybranych strukturach i może ponoć doprowadzić do ujawnienia wrażliwych informacji przez napastnika z dostępem lokalnym. Jak tłumaczy Red Hat, w momencie w którym wywołanie we-wy ioctl wysyła żądanie do jednostki wykonawczej, a kernel zaczyna przetwarzać inny proces, pojawia się ryzyko przełamania izolacji pomiędzy procesami i odczytanie zawartości poprzedniego procesu przez bieżący, nawet w trybie użytkownika.

W związku z tym do gałęzi jądra Linux 5.5 wprowadzono poprawkę, która prowadzi do wyzerowania stanów jednostek wykonawczych przy każdym przełączaniu kontekstu. To rozwiązanie skuteczne, choć z oczywistych przyczyn okupione spadkiem wydajności przetwarzania. Nie wiadomo natomiast co w przypadku systemów operacyjnych z rodziny Windows, które wprawdzie nie korzystają z funkcji ioctl, ale bliźniaczej DeviceIoControl. Intel tego nie skomentował.

Błąd bezpieczeństwa w zintegrowanym układzie graficznym może się wiązać z poważnym zagrożeniem utraty danych posiadaczy telefonów komórkowych. Jedynym zabezpieczeniem jest zainstalowanie odpowiedniego oprogramowania zabezpieczającego

Co ważne, błąd dotyczy układów graficznych Gen 9, a także Gen 7, czyli de facto wszystkich obecnie oferowanych przez Intela grafik, czy to w wysokowydajnych procesorach Comet Lake czy innych. Wyjątkiem są Ice Lake (wybrane Core 10. generacji), które mają układy Gen 11. Niemniej, jak wskazuje Red Hat, jest tylko umiarkowanie niebezpieczny. Wymaga lokalnego i bezpośredniego dostępu do sprzętu. Jeszcze tylko pytanie, jak to się ma do WebGL 2.0 (OpenGL ES 3.0 Chromium). W tej chwili nie ma na nie oficjalnej odpowiedzi. Ani ze strony Intela, ani innych zainteresowanych firm.