Çevre Birim Bileşeni Ara Bağlantı Ekspres (PCIe) Bütünlüğü ve Veri Şifreleme (IDE) protokolü spesifikasyonunda, yerel bir saldırganı ciddi risklere maruz bırakabilecek üç güvenlik açığı açıklandı.
PCI Özel İlgi Grubuna (PCI-SIG) göre kusurlar, IDE Mühendislik Değişikliği Bildirimi (ECN) tarafından sunulan protokol mekanizmasında PCIe Temel Spesifikasyon Revizyonu 5.0 ve sonraki sürümleri etkiliyor.
Konsorsiyum, “Bu, uygulamaya bağlı olarak, etkilenen PCIe bileşenlerinin aşağıdakilerden biri veya daha fazlası dahil ancak bunlarla sınırlı olmamak üzere, potansiyel olarak güvenlik açığına neden olabilir: (i) bilgilerin ifşa edilmesi, (ii) ayrıcalık artışı veya (iii) hizmet reddi” dedi.
PCIe, bilgisayarların ve sunucuların içindeki grafik kartları, ses kartları, Wi-Fi ve Ethernet bağdaştırıcıları ve depolama aygıtları dahil olmak üzere donanım çevre birimlerini ve bileşenlerini bağlamak için yaygın olarak kullanılan bir yüksek hızlı standarttır. PCIe 6.0’da tanıtılan PCIe IDE, şifreleme ve bütünlük korumaları yoluyla veri aktarımlarını güvence altına almak için tasarlanmıştır.
Intel çalışanları Arie Aharon, Makaram Raghunandan, Scott Constable ve Shalini Sharma tarafından keşfedilen üç IDE güvenlik açığı aşağıda listelenmiştir:
- CVE-2025-9612 (Yasaklı IDE Yeniden Sıralaması) – Alıcı bağlantı noktasında eksik bir bütünlük denetimi, PCIe trafiğinin yeniden sıralanmasına izin vererek alıcının eski verileri işlemesine neden olabilir.
- CVE-2025-9613 (Tamamlanma Zaman Aşımı Yönlendirmesi) – Tamamlanma zaman aşımının eksik temizlenmesi, bir saldırgan eşleşen etikete sahip bir paket enjekte ettiğinde alıcının yanlış verileri kabul etmesine olanak tanıyabilir.
- CVE-2025-9614 (Gecikmeli Gönderimli Yönlendirme) – Bir IDE akışının eksik temizlenmesi veya yeniden anahtarlanması, alıcının eski, yanlış veri paketlerini tüketmesine neden olabilir.
PCI-SIG, yukarıda belirtilen güvenlik açıklarının başarıyla kullanılmasının IDE’nin gizlilik, bütünlük ve güvenlik hedeflerine zarar verebileceğini söyledi. Ancak saldırılar, hedeflenen bilgisayarın PCIe IDE arayüzüne fiziksel veya düşük düzeyli erişim elde etmeye dayanıyor ve bu da onları düşük öneme sahip hatalar haline getiriyor (CVSS v3.1 puanı: 3,0/CVSS v4 puanı: 1,8).
“Üç güvenlik açığının tümü, IDE ve Güvenilir Etki Alanı Arayüzü Güvenlik Protokolü (TDISP) uygulayan sistemleri, güvenilir yürütme ortamları arasındaki izolasyonu ihlal edebilecek bir düşmana maruz bırakma potansiyeline sahiptir” dedi.
Salı günü yayınlanan bir danışma belgesinde CERT Koordinasyon Merkezi (CERT/CC), üreticileri güncellenmiş PCIe 6.0 standardını takip etmeye ve Erratum #1 kılavuzunu IDE uygulamalarına uygulamaya çağırdı. Intel ve AMD, sorunların aşağıdaki ürünleri etkilediğini belirten kendi uyarılarını yayınladılar:
- P çekirdekli Intel Xeon 6 İşlemciler
- P Çekirdekli Intel Xeon 6700P-B/6500P-B serisi SoC.
- AMD EPYC 9005 Serisi İşlemciler
- AMD EPYC Gömülü 9005 Serisi İşlemciler
CERT/CC, “Son kullanıcılar, özellikle hassas verileri korumak için IDE’ye dayanan ortamlarda, sistem veya bileşen tedarikçileri tarafından sağlanan ürün yazılımı güncellemelerini uygulamalıdır.” dedi.