“英特尔在NUC套件软件工具中修补了高严重性错误”
英特尔发布了对多个nuc kit型号进行比较的固件更新,以纠正攻击者可能使用的严重错误,从而导致拒绝服务( dos )条件和新闻泄露。 运行相同bios固件的英特尔计算卡和计算栏也会受到影响。
由于nuc kit设备的系统固件会话验证不充分,此错误的严重性得分为7.5分(满分10分)。 如果攻击者已经拥有拥有拥有特权客户权限的本地访问权限,则可以使用此漏洞。 受错误影响的设备列表( cve-2019-11140 )如下所示。
英特尔使用解决方案识别实用程序来解决紧急问题
另一个缺陷( cve-2019-11163 )影响了英特尔的解决方案识别实用程序。 这是因为英特尔为客户提供的免费工具,可以轻松识别他们拥有的解决方案的类型和规格。
由于缺乏对软件的硬件抽象驱动程序的访问控制,该错误的重要性得分更高,为8.2分(满分10分)。 此缺陷存在于6.1.0731之前的软件版本中。 英特尔表示,此漏洞允许经过认证的客户使用本地访问权限升级权限拒绝泄露服务和新闻。
英特尔的计算机改进计划也将受到影响
英特尔的计算机改进计划是一个计算机所有者可以参与的计划,旨在帮助英特尔改进解决方案和检测问题。 该程序附带错误( cve-2019-11162 ),与上述其他错误一样,也可以允许升级权限、拒绝服务或泄露新闻。
英特尔表示:
2.4.0.04733版之前的英特尔计算改进计划的sema驱动程序对硬件抽象的访问控制不充分,导致经过认证的客户在本地访问中升级权限,或泄露服务和新闻
研究人员继续发现英特尔产品的安全问题
所有这些安全漏洞都被发现了,但英特尔必须解决一个新的幽灵级错误swapgs。 这可以绕过所有以前的幽灵等级来缓解。
由于越来越多的安全研究人员集中于英特尔的解决方案和固件,至少在短期内,您会发现英特尔产品的安全问题越来越多。 几年前,很少有人想做那种事。 但是,英特尔支持的产品可以追溯到10多年前。 这是因为在这个短期内应该会发现很多漏洞。
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。