Seguimiento como CVE-2023-23583 (puntuación CVSS: 8.8), el problema tiene el potencial de "permitir la escalada de privilegios y/o la divulgación de información y/o la denegación de servicio a través del acceso local".
La explotación exitosa de la vulnerabilidad también podría permitir eludir los límites de seguridad de la CPU, según Google Cloud, que lo describió como un problema derivado de cómo el procesador interpreta los prefijos redundantes.
"El impacto de esta vulnerabilidad se demuestra cuando un atacante la explota en un entorno virtualizado multiinquilino, ya que la explotación en una máquina huésped provoca que la máquina anfitriona se bloquee, lo que resulta en una denegación de servicio para otras máquinas huéspedes que se ejecutan en el mismo anfitrión", dijo Phil Venables de Google Cloud.
"Además, la vulnerabilidad podría potencialmente llevar a la divulgación de información o la escalada de privilegios".
El investigador de seguridad Tavis Normandy, en un análisis separado de Reptar, dijo que se puede abusar de ella para corromper el estado del sistema y forzar una excepción de comprobación de la máquina.
Intel, como parte de las actualizaciones de noviembre de 2023, ha publicado microcódigos actualizados para todos los procesadores afectados. La lista completa de CPUs de Intel afectadas por CVE-2023-23583 está disponible aquí.
No hay evidencia de ataques activos que utilicen esta vulnerabilidad. "Intel no espera que este problema se encuentre con ningún software del mundo real no malicioso", dijo la compañía en una guía emitida el 14 de noviembre. "La explotación maliciosa de este problema requiere la ejecución de código arbitrario".
La divulgación coincide con el lanzamiento de parches para una vulnerabilidad de seguridad en los procesadores de AMD llamada CacheWarp (CVE-2023-20592) que permite a actores maliciosos ingresar a VM protegidas por AMD SEV para escalar privilegios y lograr la ejecución remota de código.
Aviso legal: Este documento ha sido compartido desde la página de The Hacker News con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.
