Microsoft ha rilasciato aggiornamenti di sicurezza fuori programma che correggono le vulnerabilità Memory Mapped I/O Stale Data nelle CPU Intel, divulgate dalla stessa azienda di Santa Clara il 14 giugno scorso.

Queste le vulnerabilità pubblicate nel Security Advisory ADV220002 in occasione del patch tuesday di giugno scorso:

• CVE-2022-21123 - Shared Buffer Data Read (SBDR) 
• CVE-2022-21125 - Shared Buffer Data Sampling (SBDS)
• CVE-2022-21127 - Special Register Buffer Data Sampling Update (SRBDS Update)
• CVE-2022-21166 - Device Register Partial Write (DRPW)

Un malintenzionato che ha sfruttato con successo queste vulnerabilità potrebbe essere in grado di leggere i dati privilegiati oltre i limiti di fiducia. In ambienti di risorse condivise (come quelli esistenti in alcune configurazioni di servizi cloud) queste vulnerabilità potrebbero consentire ad una macchina virtuale di accedere in modo improprio alle informazioni di un'altra. In scenari di non navigazione su sistemi autonomi, un utente malintenzionato avrebbe bisogno di un accesso preventivo al sistema o della capacità di eseguire un'applicazione appositamente predisposta sul sistema di destinazione per sfruttare queste vulnerabilità.

Sino ad oggi non erano stati rilasciati aggiornamenti di sicurezza, ma solo mitigazioni per Windows Server 2019 e Windows Server 2022. Gli aggiornamenti riportati a seguire sono stati resi disponibili solamente tramite Microsoft Update Catalog per l'installazione manuale:

• KB5019180 - Windows 10, version 20H2, 21H2, and 22H2
• KB5019177 - Windows 11, version 21H2
• KB5019178 - Windows 11, version 22H2
• KB5019182 - Windows Server 2016
• KB5019181 - Windows Server 2019
• KB5019106 - Windows Server 2022

Credits immagine d'apertura: Pixabay