英特尔警告关键的安全缺陷在CSME引擎 发布停产的产品通知
英特尔已经对CSME安全引擎的一个关键漏洞发出了警告,并敦促用户尽快应用现有的修复程序。
英特尔融合安全与管理引擎(CSME)是一个芯片组子系统,为英特尔的主动管理技术提供动力。
根据周二发布的一份安全报告,CSME存在固件漏洞,这是英特尔安全团队在内部发现的,如果利用该漏洞,本地威胁行为者可以发起升级特权、拒绝服务和信息泄露攻击。
该漏洞被追踪到CVE-2019-14598, CVSS的基础评分为8.2,它认为问题是关键的——最高的严重性评级。
Intel已经发布了一个固件更新来缓解该漏洞,该漏洞将影响到12.0.49(仅包括物联网:12.0.56)、13.0.21和14.0.11之前的CSME版本。
“英特尔建议升级到CSME的12.0.49、13.0.21和14.0.11或更高版本,这些版本由解决这些问题的系统制造商提供,”这家科技巨头说。“英特尔建议使用CSME版本12.0.55的物联网客户升级到12.0.56或更高版本,由解决这些问题的系统制造商提供。”
另一批更新针对的是Intel的RAID Web Console 2 (RWC2)和Windows的RAID Web Console 3 (RWC3)的安全问题。
另见:报告显示英特尔正准备与AMD打价格战
第一个漏洞是CVE-2020-0562,它影响所有版本的RWC2,并给出了6.7的基本评分,将漏洞划分为中等严重程度。本地的、通过身份验证的用户可以利用该漏洞来升级他们的特权;然而,英特尔不会修补这个问题。
相反,英特尔表示,该产品将停产,并建议用户升级到RWC3——安全顾问的下一个漏洞的主题。
第二个安全缺陷是相同的,具有相同的潜在后果。跟踪为CVE-2020-0564,该安全缺陷影响到版本7.010.009.000之前的RWC3。
在3.8.6版本之前,Intel的Manycore平台软件栈(MPSS)也收到了一个解决CVE-2020-0563的补丁,CVE-2020-0563是一个中等严重程度的问题,其基本评分为6.7。未经身份验证的用户可以利用此漏洞,由于权限处理不当,通过本地访问启用权限升级。
CNET:报告警告说,保护隐私或为techlash消费者付费
一个中等程度的安全问题,CVE-2020-0560,也已经被英特尔标记,但该公司将不会发布一个补丁。此错误影响英特尔瑞萨电子USB 3.0驱动程序,并允许特权升级的所有版本。
这家科技巨头表示:“(英特尔)建议使用英特尔瑞萨电子USB 3.0驱动程序的用户尽早卸载或停止使用。”
英特尔还解决了英特尔软件保护扩展(SGX)的一个低严重性漏洞。跟踪为CVE-2020-0561,不恰当的初始化问题,发布了2.5的基础评分,可能允许经过身份验证的用户通过本地访问升级他们的特权。
本周,微软也发布了其每月的安全补丁,2月份的补丁共解决了99个漏洞,其中11个被认为是关键的。包括Internet Explorer、Edge浏览器、Microsoft Exchange Server和Microsoft Office在内的软件已被包括在此次更新中。
TechRepublic:在网络钓鱼攻击中,PayPal是被模仿最多的品牌
Adobe也解决了数十个软件中的关键缺陷,包括Acrobat和Reader、Flash和Adobe Experience Manager。
与此相关的消息是,本月早些时候,微软发布了针对Windows 10 1909和1903版本的Intel更新,以帮助Intel发布针对投机性执行攻击的固件。芯片的更新试图修复僵尸负载攻击、放射性尘埃、不可靠的内存问题和加载缓冲区的安全缺陷。