Intel heeft op dinsdag microcode-updates uitgebracht om een kwetsbaarheid met de naam Reptar, geïdentificeerd als CVE-2023-23583, aan te pakken. Bijna alle moderne Intel CPU's zijn kwetsbaar voor deze bug. Deze kwetsbaarheid kan een "glitch state" veroorzaken waarin malafide code kan worden uitgevoerd in virtuele machines, wat leidt tot crashes van de hostserver. De bug heeft betrekking op de manier waarop de CPU omgaat met prefixes, waardoor het gedrag van door software gestuurde instructies verandert.
Google-veiligheidsonderzoeker Tavis Ormandy ontdekte de kwetsbaarheid en meldde deze aan Intel. Aanvankelijk kreeg het een 'severity rating' van 5 op 10 en werd een fix gepland voor maart van het volgende jaar. Echter, na verdere analyse ontdekten Intels beveiligingsonderzoekers een mogelijk pad voor "escalation of privilege," wat betekent dat een aanvaller adminrechten op het systeem zou kunnen verkrijgen. Hierdoor werd de bug als ernstiger beoordeeld, met een rating van 8.8, en moest Intel snel reageren, vooral omdat het ook kon worden gebruikt voor denial-of-service-aanvallen.
Google had oorspronkelijk gepland de bug op 14 november openbaar te maken, dus Intel versnelde het uitbrengen van een patch. Intel heeft een officiële lijst gepubliceerd van kwetsbare processors, welke al zijn gepatcht en welke nog een update nodig hebben. Hoewel het risico voor individuele gebruikers relatief klein is, is het van belang voor serveromgevingen met virtuele machines. Voor meer details over de kwetsbaarheid kun je het artikel op Ars Technica raadplegen.
Bronnen: ArsTechnica, Reptar
