Assistance

Mise à jour de microprogramme critique du Moteur de gestion Intel® (Intel-SA-00086)


Dernière révision : 09-Apr-2018
ID de l'article : 000025619

Vulnérabilité (Intel-SA-00086) du Moteur de gestion Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), du Moteur d'exécution fiabilisée Intel® (Intel® TXE 3.0) et d'Intel® Server Platform Services (Intel® SPS 4.0)

RemarqueCet article décrit les problèmes liés aux failles de sécurité du microprogramme du Moteur de gestion Intel®. Cet article ne contient pas d'informations liées à la vulnérabilité du canal côté processeur (appelée Meltdown/Spectre). Si vous recherchez des informations sur le problème Meltdown/Spectre, rendez-vous sur Faits de l'analyse côté canal et les produits Intel®.

En réponse aux problèmes identifiés par des chercheurs externes, Intel a réalisé un examen approfondi complet des éléments suivants dans le but d’améliorer la résilience du microprogramme :

  • Moteur de gestion Intel®
  • Moteur d'exécution fiabilisée Intel®
  • Intel® Server Platform Services (SPS)

Intel a identifié des failles de sécurité qui pourraient avoir un impact sur certains PC, serveurs et plates-formes Internet des objets.

Les systèmes utilisant un microprogramme Intel ME des versions 6.x-11.x, les serveurs utilisant le microprogramme SPS version 4.0 et les systèmes utilisant TXE version 3.0 sont affectés. Vous trouverez ces versions de microprogramme sur les processeurs suivants :

  • 1er, 2e, 3e, 4e, 5e, 6e, 7e et 8e génération des familles de processeurs Intel® Core™
  • Famille de processeurs E3-1200 Intel® Xeon® v5 et v6
  • Famille de processeurs évolutifs Intel® Xeon®
  • Processeur Intel® Xeon® W
  • Famille de processeurs Intel Atom® C3000
  • Processeur Apollo Lake Intel® Atom® série E3900
  • Processeurs Apollo Lake Intel® Pentium®
  • Processeur Intel® Pentium® série G
  • Processeurs Intel® Celeron® séries G, N et J

Pour déterminer si les vulnérabilités identifiées affectent votre système, téléchargez et exécutez l’outil de détection SA-Intel-00086 à l'aide des liens ci-dessous.

Section Questions-réponses

Ressources disponibles

Ressources pour les utilisateurs de Microsoft et de Linux*

RemarqueLes versions de l’outil de détection SA-INTEL-00086 antérieures à la version 1.0.0.146 ne vérifiaient pas CVE-2017-5711 et CVE-2017-5712. Ces CVE affectent uniquement les systèmes utilisant la technologie d’administration active Intel® version 8.x-10.x. Nous encourageons les utilisateurs de systèmes utilisant la technologie d’administration active Intel® version 8.x-10.x à installer la version 1.0.0.146 ou une version ultérieure. L’installation de cette version permet de vérifier l’état du système à l'égard de l’avis de sécurité INTEL-SA-00086. Vous pouvez vérifier la version de l’outil de détection INTEL-SA-00086 en exécutant l’outil et en recherchant les informations de version dans la fenêtre de sortie.

Ressources pour constructeurs de systèmes/cartes mères

RemarqueLes liens des autres constructeurs de systèmes/cartes mères seront fournis lorsqu’ils seront disponibles. Si votre constructeur n’est pas indiqué, contactez-le pour plus d’informations sur la disponibilité de la mise à jour nécessaire des logiciels.


Questions-réponses :

Q. : l’outil de détection Intel-SA-00086 indique que mon système est vulnérable. Qu'est-ce que je fais ?
R. :
Intel a fourni aux constructeurs de systèmes et de cartes mères les mises à jour de microprogrammes et de logiciels nécessaires pour résoudre les vulnérabilités identifiées dans l'avis de sécurité Intel-SA-00086.

Contactez le constructeur de votre système ou de votre carte mère concernant leurs plans pour mettre les mises à jour à la disposition des utilisateurs finaux.

Certains constructeurs ont fourni à Intel avec un lien direct pour que leurs clients puissent obtenir plus d’informations et les mises à jour de logiciels disponibles (voir la liste ci-dessous).

Q : Pourquoi dois-je contacter le constructeur de mon système ou de ma carte mère ? Pourquoi ne puis-je pas obtenir la mise à jour nécessaire à mon système directement d'Intel ?
R. :
Intel ne peut pas fournir de mise à jour générique en raison des personnalisations apportées au microprogramme du moteur de gestion par les constructeurs de systèmes et de cartes mères.

Q : L'outil de détection Intel-SA-00086 indique que mon système peut être vulnérable. Qu'est-ce que je fais ?
R. :
L'état peut être vulnérable est indiqué généralement lorsqu'un des pilotes suivants n'est pas installé :

  • Pilote d'interface du moteur de gestion Intel®
ou
  • Pilote d’interface du Moteur d'exécution fiabilisée Intel®
Contactez le constructeur de votre système ou de votre carte mère pour obtenir les pilotes appropriés pour votre système.

Q : Le constructeur de mon système ou de ma carte mère ne figure pas sur votre liste. Qu'est-ce que je fais ?
R. :
La liste ci-dessous contient les liens des constructeurs de systèmes ou de cartes mères qui ont fourni à Intel leurs informations. Si votre constructeur ne s'y trouve pas, contactez-le en utilisant ses mécanismes d’assistance standard (site Web, téléphone, e-mail, etc.) pour obtenir de l'assistance.

Q. : De quels types d’accès l’attaquant aurait-il besoin pour exploiter les vulnérabilités identifiées ?
R. :
Si le constructeur du matériel active les protections en écriture de descripteur flash recommandées par Intel, un pirate informatique a besoin d'un accès physique à la mémoire flash du microprogramme de la plate-forme pour exploiter les vulnérabilités identifiées dans :

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
Le pirate obtient un accès physique en mettant à jour manuellement la plate-forme avec une image de microprogramme malveillant par l'intermédiaire d'un programmeur flash connecté physiquement à la mémoire flash de la plate-forme. La protection en écriture du descripteur flash est un paramètre de plate-forme généralement défini à la fin de la production. La protection en écriture du descripteur flash protège les paramètres de la mémoire flash afin qu'ils ne soient pas modifiés à des fins malveillantes ou par inadvertance une fois la fabrication est terminée.

Si le constructeur de matériel n'active pas la protection en écriture du descripteur flash recommandée par Intel, un pirate informatique doit pouvoir accéder au noyau d’exploitation (accès logique, système d’exploitation Ring 0). Le pirate a besoin de cet accès pour exploiter les vulnérabilités identifiées en appliquant une image de microprogramme malveillant à la plate-forme à l'aide d'un pilote de plate-forme malveillant.

La vulnérabilité identifiée dans CVE-2017-5712 est exploitable à distance sur le réseau en conjonction avec des informations d’identification administratives valides permettant d'accéder au Moteur de gestion Intel®. La vulnérabilité n’est pas exploitable si les informations d’identification administratives valides ne sont pas disponibles.

Pour obtenir une assistance supplémentaire, contactez l’assistance à la clientèle Intel pour soumettre une demande de service en ligne.

Accéder à l'assistance pour les produits associés

Produits actifs

Firmware des services pour la plate-forme serveur Intel®