Intel łata ponad 60 podatności (listopad 2025). Co to oznacza dla Twoich stacji roboczych i serwerów?

Wprowadzenie do problemu / definicja luki

W listopadowym „chipmaker Patch Tuesday” Intel opublikował 30 nowych biuletynów bezpieczeństwa opisujących ponad 60 podatności w szerokim wachlarzu produktów – od procesorów Xeon/Core i narzędzi deweloperskich po sterowniki grafiki, NPU oraz QuickAssist (QAT). Równolegle własne aktualizacje doręczyli AMD i NVIDIA, obejmując m.in. sterowniki XRT (AMD) oraz frameworki AI (NVIDIA NeMo, Megatron, AIStore, Triton). To wydanie łącznie adresuje błędy prowadzące do eskalacji uprawnień, ujawnienia informacji i DoS, a w przypadku części komponentów AI – także potencjalnego wykonania kodu.

W skrócie

• Intel: 30 advisory, >60 CVE; wysokie ryzyka m.in. w Xeon/Slim Bootloader/PROSet/CIP/Graphics/QAT; liczne średnio-/niskopoważne błędy w narzędziach użytkowych i SDK.
• AMD: 14 CVE w 6 advisory; wysoka powaga m.in. w XRT; StoreMi z EoL – producent nie dostarczy łatek (należy odinstalować).
• NVIDIA: 6 CVE w 4 advisory dot. NeMo, Megatron, AIStore, Triton – część z nich umożliwia wykonanie kodu / EoP / ujawnienie danych.

Kontekst / historia / powiązania

Intel publikuje zbiory biuletynów cyklicznie (zwykle kwartalnie) w ramach Intel Product Security Center. Listopadowy zrzut (11 listopada 2025 r.) zawiera serię advisory INTEL-SA-0130x…0136x widocznych na stronie PSIRT, w tym np. INTEL-SA-01328 (CIP). Równolegle pojawiły się aktualizacje mikrokodu CPU dla Linuksa.

Analiza techniczna / szczegóły luki

Najczęściej dotknięte komponenty (Intel):

• Procesory Xeon / Slim Bootloader / PROSet / CIP / Graphics / QAT – w części z nich błędy prowadzą do EoP i DoS (wysoka waga). Przykładowo INTEL-SA-01328 (CIP) klasyfikuje wpływ jako EoP/Info Disclosure (severity: HIGH).
• Narzędzia i biblioteki (Server Configuration Utility, Display Virtualization, NPU drivers, SigTest, VTune, ITT API, oneAPI MKL, QAT userspace, Gaudi, MPI, PresentMon, Driver & Support Assistant, Rapid Storage Technology) – przeważnie średnie/niskie ryzyko (EoP/DoS/Info Disclosure).

AMD:

• Advisory obejmują XRT (Xilinx Run Time), μProf, wybrane Epyc oraz status StoreMi – technologia jest poza wsparciem, brak łatek (zalecane usunięcie).

NVIDIA (AI stack):

• NeMo i Megatron (frameworki LLM), AIStore (składowanie aplikacji AI) i Triton Inference Server – biuletyny z listopada 2025 r. naprawiają podatności pozwalające m.in. na wykonanie kodu, EoP i wyciek danych. Przykładowy biuletyn AIStore (listopad 2025): aktualizacja komponentu AuthN.

Praktyczne konsekwencje / ryzyko

• Stacje robocze DaaS/VDI i deweloperskie (grafika Intel, narzędzia oneAPI/VTune/ITT, Driver & Support Assistant) – ryzyko lokalnej eskalacji uprawnień oraz ujawnienia informacji przez developer tools.
• Serwery bare-metal i wirtualizacja (Xeon, QAT, Slim Bootloader) – potencjalna EoP/DoS może ułatwić pivot z VM do hosta lub zakłócić akceleratory kryptograficzne/kompresyjne (QAT).
• Klastry AI/ML (NVIDIA NeMo/Megatron/Triton/AIStore) – błędy w pipeline’ach inferencyjnych/treningowych mogą skutkować RCE w węzłach GPU, sabotażem modeli czy kradzieżą artefaktów.
• Dziedzictwo: instalacje z AMD StoreMi – niezabezpieczalne; pozostawienie systemu zwiększa powierzchnię ataku.

Rekomendacje operacyjne / co zrobić teraz

1) Inwentaryzacja i priorytetyzacja

• Zbuduj listę hostów z komponentami: Intel Graphics/PROSet/CIP/QAT/VTune/ITT/oneAPI/DSA/RST, Xeon/Core; u AMD – XRT, μProf, StoreMi; u NVIDII – NeMo/Megatron/AIStore/Triton. (Źródła producentów w sekcji na końcu).

Windows (PowerShell – szybkie sprawdzenie wybranych komponentów Intel):

# sterowniki Intel Graphics + wersja Get-PnpDevice -Class Display | Get-PnpDeviceProperty DEVPKEY_Device_DriverVersion # Intel Driver & Support Assistant Get-ItemProperty "HKLM:\SOFTWARE\Intel\Intel(R) Driver & Support Assistant" | Select-Object Version # Intel PROSet (NIC) Get-ItemProperty "HKLM:\SOFTWARE\Intel\NetworkServices\PROSet" -ErrorAction SilentlyContinue # RST (Rapid Storage Technology) (Get-Item "HKLM:\SOFTWARE\Intel\IAStor*","HKLM:\SOFTWARE\WOW6432Node\Intel\IAStor*").Property

Linux (mikrokod CPU i QAT):

# wersja mikrokodu dmesg | grep -i microcode grep microcode /proc/cpuinfo | uniq # pakiet mikrokodu (Debian/Ubuntu) apt policy intel-microcode # sterowniki QAT (przykład) lsmod | grep -i qat modinfo qat_4xxx | egrep 'version|vermagic'

2) Aktualizacje / łagodzenia

• Intel: zastosuj pakiety z advisory z 11.11.2025 – szczególnie dla CIP (INTEL-SA-01328), Graphics, QAT, PROSet, VTune i komponentów firmware (Slim Bootloader). Sprawdź także dostępność mikrokodu CPU (Linux).
• AMD: zaktualizuj XRT do wydania 2025.1+; odinstaluj StoreMi (EoL, brak łatek).
• NVIDIA: zaktualizuj NeMo, Megatron, AIStore (AuthN), Triton do wersji wskazanych w biuletynach z listopada 2025 r.

3) Twardnienie i detekcja

• W SIEM dodaj korelacje na nieoczekiwane ładowanie sterowników/narzędzi deweloperskich (np. vtune, ittapi, presentmon), eskalację integratorów sterowników (Intel DSA), a w klastrach AI – na nieautoryzowane aktualizacje modelu / pluginów Triton.
• W EDR utwardź zasady driver loading i app control dla narzędzi z rodziny oneAPI, QAT i NPU.

4) Testy regresji

• W środowiskach z QAT i akceleracją AI wprowadź krótkie testy wydajnościowe po aktualizacji; błędy DoS potrafią maskować się jako „spadki throughputu”.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• W przeciwieństwie do wielu poprzednich wydań, tym razem ciężar komunikatów NVIDII dotyczy frameworków AI, nie tylko sterowników GPU – to ważne dla zespołów MLOps/AI Platform.
• W ekosystemie AMD rzadkim, ale istotnym przypadkiem jest brak łatek dla StoreMi z racji EoL – konieczna decyzja remove/replace zamiast „patch & continue”.
• Intel utrzymuje szeroki zakres – od firmware (Slim Bootloader) po narzędzia deweloperskie – co wymaga zarówno aktualizacji OS/drivers, jak i firmware/BIOS/mikrokodu.

Podsumowanie / najważniejsze wnioski

• To wydanie jest „szerokospektralne”: dotyka endpointów użytkowników, hostów serwerowych i klastrów AI.
• Priorytetyzuj: Intel CIP/Graphics/QAT/PROSet, AMD XRT, usunięcie StoreMi, NVIDIA NeMo/Megatron/AIStore/Triton.
• Zadbaj o mikrokod CPU (Linux) i pipeline’y CI/CD dla komponentów AI – błędy w narzędziach deweloperskich i frameworkach to dziś realna ścieżka ataku.

Źródła / bibliografia

1. SecurityWeek – przekrojowe omówienie tegorocznego „Chipmaker Patch Tuesday” (Intel/AMD/NVIDIA), 12.11.2025. (SecurityWeek)
2. Intel Product Security Center – lista advisory z 11.11.2025 (m.in. INTEL-SA-01356…01364). (Intel)
3. Intel INTEL-SA-01328 (Computing Improvement Program – CIP), 11.11.2025. (Intel)
4. AMD – biuletyn StoreMi (EoL, brak planu łatek). (AMD)
5. NVIDIA – biuletyn AIStore (AuthN), listopad 2025. (NVIDIA Support)