This post is also available in: Português
Recentemente, foi identificada uma falha de segurança crítica no Intel® Neural Compressor, uma biblioteca Python, usada para otimização de modelos de Deep Learning (aprendizagem profunda), incluindo o TensorFlow, PyTorch e ONNX Runtime, com o objetivo de reduzir o tamanho dos modelos e aumentar a velocidade de inferência para implantação em CPUs ou GPUs.
Esta vulnerabilidade, identificada como CVE-2024-22476, apresenta um risco significativo que deve ser compreendido e mitigado com agilidade. A urgência é atribuída ao fato de que a ferramenta é utilizada por uma série de fabricantes de equipamentos, que embarcam em seus produtos processadores Intel, e fazem uso da ferramenta Neural Compressor. Entre estes fabricantes, também estão os desenvolvedores de produtos para o mercado de segurança da informação.
Descrição da vulnerabilidade CVE-2024-22476
A CVE-2024-22476 é uma falha de validação de entrada presente na ferramenta Intel® Neural Compressor, que atinge as versões anteriores à 2.5.0. Esta vulnerabilidade, pode permitir que um invasor, não autenticado, escale privilégios por meio de acesso remoto. O compressor Neural da Intel é parte de uma suíte fim-a-fim de Inteligência Artificial e de Machine Learning da Intel.
Em termos simples, isso significa que um cibercriminoso pode obter acesso privilegiado a recursos do sistema, que normalmente são restritos, possibilitando o controle de funções críticas.
A falha recebeu score base de 10,0 no Sistema de Pontuação de Vulnerabilidade Comum (CVSS), sendo classificada como crítica.
A vulnerabilidade pode ser explorada remotamente, não requerendo interação do usuário, com impacto significativo na confidencialidade, integridade e disponibilidade do sistema afetado.
Outra vulnerabilidade identificada
Além da CVE-2024-22476, outra vulnerabilidade (CVE-2024-21792) foi identificada. Esta falha permite que um usuário autenticado divulgue informações sensíveis por meio de acesso local. Esta vulnerabilidade é classificada com uma pontuação CVSS de 4,7 (médio)
Produtos afetados
Os produtos afetados são todas as versões do Intel® Neural Compressor anteriores à versão 2.5.0.
Recomendação
Para mitigar estas vulnerabilidades, a Intel recomenda atualizar o software Intel® Neural Compressor para a versão 2.5.0 ou posterior. As atualizações podem ser encontradas e baixadas através do link oficial do repositório GitHub da Intel.
Importância da aplicação de correções
A importância de aplicar essas correções não pode ser subestimada. Falhas de segurança como a CVE-2024-22476 podem ser exploradas rapidamente por atacantes, resultando em interrupções no dispositivo, e outros danos significativos. A prática de atualizar regularmente o software e seguir as recomendações do fornecedor é essencial para a manutenção de um ambiente seguro.
A Intel, alinhada com as práticas de Divulgação Coordenada da indústria de tecnologia, assegura que as vulnerabilidades sejam divulgadas publicamente apenas após as mitigações estarem disponíveis. No entanto, a eficácia dessas mitigações depende da pronta aplicação das atualizações por parte das organizações.
Manter seus sistemas atualizados com as últimas correções de segurança é uma defesa fundamental contra ameaças cibernéticas. A vulnerabilidade CVE-2024-22476 no Intel® Neural Compressor destaca a necessidade contínua de vigilância e ação proativa para proteger recursos críticos.
Para mais informações e download das atualizações, acesse o repositório oficial da Intel: Atualizações Intel® Neural Compressor.
This post is also available in: Português