“英特尔在CSME固件中发现安全缺陷”
英特尔内部团队本周揭示了该公司安全管理引擎( csme )的新漏洞。 此漏洞允许对使用intel cpu的某些pc进行特权升级,从而可能会拒绝服务和新闻泄露攻击。
此错误会影响csme微控制器单元( mcu )附带的所有英特尔CPU,下一代ice lake和comet lake解决方案除外。 这个漏洞的cvss得分为8.2 (满分10 ),被严重分类。
固件的缺陷在于英特尔csme 12.0-12.0.48版的子系统上的验证不正确,攻击者在13.0-13.0.20版和14.0-14.0.10版中获得了特权 如果他们因为其他错误可以本地访问设备。
直到几年前,我还很少听说过英特尔固件的安全问题。 但是,目前,特别是作为csme几个固件子集之一的英特尔管理引擎( me ),每年似乎都会有一些重要的披露。
借助英特尔me / csme芯片和固件,攻击者可以远程绕过和接管计算机的安全保护方案。 这是因为me / csme和intelactive management technology ( AMT )支持的远程带外管理已在Intel解决方案中实施。
隐私主义者和系统供应商长期以来认为,英特尔me和amt的固件太危险,无法在大多数设备上启用。 特别是在几乎不需要的昂贵设备上无法启用。
减轻
英特尔建议向系统制造商咨询csme固件的更新版本12.0.49、13.0.21、14.0.11或更高版本。
在大多数固件更新中,系统制造商可能只更新最新的设备,而大多数采用的设备仍然容易受到攻击。
本文:《“英特尔在CSME固件中发现安全缺陷”》
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。