Microsoft a publié des mises à jour de sécurité hors bande pour les vulnérabilités de divulgation d'informations "Memory Mapped I/O Stale Data (MMIO)" dans les processeurs Intel.

Les vulnérabilités de canal latéral MMIO ont été initialement divulguées par Intel le 14 juin 2022, avertissant que les failles pouvaient permettre aux processus s'exécutant dans une machine virtuelle d'accéder aux données d'une autre machine virtuelle.

Cette classe de vulnérabilités est suivie sous les CVE suivants :

• CVE-2022-21123 - Lecture de données de tampon partagé (SBDR)
• CVE-2022-21125 - Échantillonnage de données de tampon partagé (SBDS)
• CVE-2022-21127 - Mise à jour de l'échantillonnage des données du tampon de registre spécial (SRBDS Update)
• CVE-2022-21166 - Écriture partielle du registre du dispositif (DRPW)

Dans le cadre du Patch Tuesday de juin, Microsoft a également publié le document ADV220002 contenant des informations sur les types de scénarios sur lesquels ces vulnérabilités pourraient avoir un impact.

Cependant, selon l'avis de Microsoft, aucune mise à jour de sécurité n'a été publiée, à l'exception des atténuations appliquées pour Windows Server 2019 et Windows Server 2022.

Microsoft a publié un ensemble quelque peu confus de mises à jour de sécurité pour Windows 10, Windows 11 et Windows Server qui traitent ces vulnérabilités.

D'après les bulletins d'assistance, il n'est pas clair s'il s'agit de nouveaux microcodes Intel ou d'autres atténuations qui seront appliquées aux appareils.

Ces mises à jour sont publiées en tant que mises à jour manuelles dans le catalogue Microsoft Update :

• KB5019180 - Windows 10, version 20H2, 21H2 et 22H2
• KB5019177 - Windows 11, version 21H2
• KB5019178 - Windows 11, version 22H2
• KB5019182 - Windows Server 2016
• KB5019181 - Windows Server 2019
• KB5019106 - Windows Server 2022

Il est fortement conseillé de lire les avis d'Intel et de Microsoft avant d'appliquer ces mises à jour.