Detectadas en la tecnología Intel Management Engine, las vulnerabilidades son significativas tanto por la gravedad de las mismas como por el número de equipos afectados, y es que alcanza incluso a los novísimos chips Intel Core de octava generación.
El firmware de este subsistema (básicamente una CPU dentro de una CPU) está basado en MINIX, un sistema operativo *nix creado con propósitos educativos en los años 80 y que inicialmente no hacía énfasis en la seguridad. Su creador, el profesor Andrew Tanenbaum, expresó su preocupación cuando recientemente se descubrió que Intel había utilizado MINIX como sistema operativo interno para el Intel Management Engine. Parece que el tiempo ha terminado por darle la razón.
La lista de procesadores afectados es la siguiente:
- Intel Core de sexta, séptima y octava generación
- Intel Xeon E1200 v5 y v6
- Intel Xeon Scalable
- Intel Xeon W
- Intel Atom C3000
- Intel Atom Apollo Lake E3900
- Intel Pentium Apollo Lake
- Intel Celeron N y J
Según señala ArsTechnica, las vulnerabilidades de mayor gravedad han sido puntuadas con un 7,5 y un 8,2 en la Common Vulnerability Security Scale o CVSS. Estamos hablando por tanto de un riesgo significativo para empresas y usuarios particulares, que deberán tomar medidas para protegerse frente a posibles ataques.
Los principales fabricantes de ordenadores y componentes ya han comenzado a tomar medidas. Firmas como Gigabyte, Lenovo y Dell han anunciado que próximamente lanzarán parches que solucionarán este problema. Solo en el caso de Dell estamos hablando de más de 100 equipos distintos entre las gamas Inspiron, Latitude, Optiplex y su filial Alienware. Intel, por su parte, ya ha comunicado que parcheará sus equipos NUC y Compute Stick.
Los usuarios interesados en comprobar si su equipo está afectado por esta vulnerabilidad pueden descargar la herramienta de detección de Intel desde su página oficial.
