Debolezze di crittografia PCIe espongono sistemi PCIe 5.0+ a gestione dati difettosa

Vulnerabilità di sicurezza nel protocollo PCIe IDE
Il 10 dicembre 2025, sono state scoperte tre vulnerabilità di sicurezza nel protocollo di integrità e crittografia dei dati (IDE) della Peripheral Component Interconnect Express (PCIe). Queste vulnerabilità potrebbero esporre un attaccante locale a rischi seri.

Le vulnerabilità colpiscono la revisione 5.0 e successive della specifica PCIe Base, nel meccanismo introdotto dalla nota di modifica tecnica (ECN) dell’IDE, secondo il gruppo di interesse speciale PCI (PCI-SIG). Ciò potrebbe risultare in una esposizione di sicurezza, compresa, ma non limitata a, una o più delle seguenti, a seconda dell’implementazione: (i) divulgazione di informazioni, (ii) escalation di privilegi o (iii) negazione del servizio. Il consorzio ha notato che PCIe è uno standard ampiamente utilizzato per collegare periferiche e componenti hardware ad alta velocità, comprese schede grafiche, schede audio, adattatori Wi-Fi e Ethernet e dispositivi di archiviazione, all’interno di computer e server.

Le tre vulnerabilità dell’IDE, scoperte da dipendenti Intel, sono elencate di seguito: CVE-2025-9612, CVE-2025-9613 e CVE-2025-9614. La PCI-SIG ha affermato che lo exploit di queste vulnerabilità potrebbe compromettere la riservatezza, l’integrità e gli obiettivi di sicurezza dell’IDE. Tuttavia, gli attacchi dipendono dall’ottenimento di accesso fisico o a basso livello all’interfaccia PCIe IDE del computer target, rendendoli bug di bassa gravità. Il CERT Coordination Center (CERT/CC) ha pubblicato un avviso, raccomandando ai produttori di seguire lo standard PCIe 6.0 aggiornato e di applicare la guida Erratum #1 alle loro implementazioni IDE. Gli utenti finali dovrebbero applicare gli aggiornamenti del firmware forniti dai loro fornitori di sistema o componenti, specialmente in ambienti che si affidano all’IDE per proteggere dati sensibili.