Threats
Falhas identificadas podem permitir divulgação de informação, escalada de privilégios e negação de serviço, segundo alertas oficiais
15/12/2025
|
Foram identificadas três vulnerabilidades no padrão PCI Express (PCIe) Integrity and Data Encryption (IDE) que afetam processadores Intel e AMD. As falhas, encontradas por empregados da Intel, permitem potenciais ataques de divulgação de informação, escalada de privilégios ou negação de serviço (DoS). O PCIe IDE, introduzido na versão 6.0 do padrão, utiliza encriptação AES-GCM para proteger a confidencialidade, integridade e resistência a repetições no tráfego entre componentes PCIe. Estas vulnerabilidades, especificadas pelos códigos CVE-2025-9612, CVE-2025-9613 e CVE-2025-9614 resultam, em determinadas condições, na possibilidade de uso de dados obsoletos ou incorretos por atacantes capazes de manipular padrões específicos de tráfego na interface PCIe. O CERT/CC da Universidade Carnegie Mellon, citado pela SecurityWeek, explica que "o IDE usa encriptação AES-GCM para proteger confidencialidade, integridade e resistência a repetições para o tráfego entre componentes PCIe. Opera entre a camada de transação e a camada de ligação de dados, proporcionando proteção próxima ao hardware contra modificação não autorizada do tráfego da ligação". Acrescenta ainda que as vulnerabilidades "podem, sob certas condições, resultar no consumo de dados obsoletos ou incorretos se um atacante conseguir criar padrões de tráfego específicos na interface PCIe". Apesar do potencial impacto destas falhas, a gravidade foi classificada como "baixa severidade", dado que a exploração requer acesso físico ou acesso de baixo nível à interface PCIe IDE do computador visado. O PCI Special Interest Group (SIG), responsável pelo desenvolvimento e manutenção do PCIe, publicou um aviso técnico que agrega as informações sobre as vulnerabilidades. Foram enviadas comunicações de alteração de engenharia (Engineering Change Notification - ECN) aos fornecedores de hardware que usam PCIe, sendo que são esperadas atualizações de firmware por parte dos sistemas e fornecedores de componentes. Até ao momento, apenas a Intel e a AMD confirmaram que os seus produtos são afetados por estas vulnerabilidades. A Intel divulgou que determinados processadores das séries Xeon 6 e Xeon 6700P-B/6500P-B estão incluídos. A AMD indicou que a série EPYC 9005, incluindo versões embedded, poderá estar impactada, estando à espera de mais detalhes sobre as falhas. Enquanto isso, empresas como a Nvidia, a Dell, a F5 e a Keysight afirmaram que não foram afetadas. Contudo, o impacto para mais de uma dúzia de outros fornecedores, como Arm, Cisco, Google, HP, IBM, Lenovo e Qualcomm, permanece desconhecido. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
THREATS
Falha de gravidade máxima no n8n expõe segredos e infraestruturas de IA a ataques remotos
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
