Se han revelado tres vulnerabilidades de seguridad en la observación del protocolo Peripheral Component Interconnect Express (PCIe) Integrity and Data Encryption (IDE) que podrían exponer a un atacante restringido a graves riesgos.
Las fallas afectan la Revisión de la observación cojín PCIe 5.0 y posteriores en el mecanismo de protocolo introducido por el Aviso de cambio de ingeniería (ECN) de IDE, según el Corro de interés distinto de PCI (PCI-SIG).
“Esto podría potencialmente resultar en una exposición a la seguridad, incluyendo, entre otros, uno o más de los siguientes con los componentes PCIe afectados, dependiendo de la implementación: (i) divulgación de información, (ii) ascensión de privilegios o (iii) denegación de servicio”, señaló el consorcio.
PCIe es un estereotipado de suscripción velocidad ampliamente utilizado para conectar periféricos y componentes de hardware, incluidas tarjetas gráficas, tarjetas de sonido, adaptadores Wi-Fi y Ethernet y dispositivos de almacenamiento, en el interior de computadoras y servidores. Introducido en PCIe 6.0, PCIe IDE está diseñado para proteger las transferencias de datos mediante criptográfico y protecciones de integridad.
Las tres vulnerabilidades de IDE, descubiertas por los empleados de Intel Arie Aharon, Makaram Raghunandan, Scott Constable y Shalini Sharma, se enumeran a continuación:
- CVE-2025-9612 (Reordenamiento IDE prohibido): una comprobación de integridad faltante en un puerto receptor puede permitir el reordenamiento del tráfico PCIe, lo que lleva al receptor a procesar datos obsoletos.
- CVE-2025-9613 (Redireccionamiento del tiempo de prórroga de finalización): la asesinato incompleta de un tiempo de prórroga de finalización puede permitir que un receptor acepte datos incorrectos cuando un atacante inyecta un paquete con una formalidad coincidente.
- CVE-2025-9614 (Redireccionamiento publicado retrasado): el vaciado o la recodificación incompleta de una secuencia IDE puede provocar que el receptor consuma paquetes de datos obsoletos e incorrectos.
PCI-SIG dijo que la explotación exitosa de las vulnerabilidades antaño mencionadas podría socavar los objetivos de confidencialidad, integridad y seguridad de IDE. Sin retención, los ataques dependen de obtener paso físico o de bajo nivel a la interfaz PCIe IDE de la computadora objetivo, lo que los convierte en errores de disminución formalidad (puntaje CVSS v3.1: 3.0/puntaje CVSS v4: 1.8).
“Las tres vulnerabilidades exponen potencialmente los sistemas que implementan IDE y el Protocolo de seguridad de interfaz de dominio confiable (TDISP) a un adversario que puede violar el aislamiento entre entornos de ejecución confiables”, dijo.
En un aviso publicado el martes, el Centro de Coordinación CERT (CERT/CC) instó a los fabricantes a seguir el estereotipado PCIe 6.0 actualizado y aplicar la itinerario de errata n.° 1 a sus implementaciones IDE. Intel y AMD han publicado sus propias alertas, indicando que los problemas afectan a los siguientes productos:
- Procesadores Intel Xeon 6 con núcleos P
- SoC Intel Xeon serie 6700P-B/6500P-B con P-Cores.
- Procesadores AMD EPYC serie 9005
- Procesadores integrados AMD EPYC serie 9005
“Los usuarios finales deben aplicar las actualizaciones de firmware proporcionadas por sus sistemas o proveedores de componentes, especialmente en entornos que dependen de IDE para proteger datos confidenciales”, dijo CERT/CC.
