Intel correzioni grave NUC firmware della console web di vulnerabilità

0
21

Intel batte 10 a generazione Core con 10nm Lago di Ghiaccio lancio
Chip gigante porta finalmente 10nm processo di fabbricazione di chip desktop.

Intel ha rivelato una serie di gravità difetti che incidono Intel NUC firmware e Intel RAID Console Web di 3 (RWC3) per Windows.

Il martedì, il gigante tecnologico ha rilasciato una serie di avvisi di sicurezza per i problemi di cui RWC3 le patch sono disponibili per il download.

La maggior parte delle l’aggiornamento, tuttavia, si riferisce a Intel Next Unit of Computing (NUC) il firmware, utilizzato in una varietà di Pc con piccoli fattori di forma.

Un totale di 39 prodotti a base NUC firmware compreso NUC Kit NUC8i3BEx, Compute Stick STK2MV64CC, NUC Kit NUC5CPYH, di Calcolo e di Carta CD1IV128MK, sono coinvolti.

La prima vulnerabilità di nota, CVE-2019-11127, è un problema di overflow del buffer che può consentire a una escalation di privilegi se l’accesso locale è disponibile. Il secondo locale di vulnerabilità CVE-2019-11128, è stato causato da un insufficiente di convalida dell’input, che può non solo provocare una escalation di privilegi, ma anche di tipo denial of service o la divulgazione di informazioni.

Entrambi i bug è stato rilasciato un CVSS punteggio di 8.2 e sono considerati critici.

Vedi anche: Intel, infine, i problemi di Spoiler attacco avviso: Ora non Spectre sfruttare ottiene CVE ma senza patch

Un ulteriore cinque vulnerabilità, che è stato rilasciato un livello critico punteggio di 7.5, sono stati risolti nelle ultime NUC aggiornamento del firmware.

Un errore di convalida correttamente le sessioni (CVE-2019-11123), due out of bound di lettura/scrittura di problemi (CVE-2019-11124, CVE-2019-11129), un insufficiente errore di convalida dell’input (CVE-2019-11125), e il puntatore corruzione (CVE-2019-11126) sono stati tutti risolti.

Se lasciato senza patch, questi bug possono portare ad una escalation di privilegi, di tipo denial of service, e la divulgazione di informazioni. Tuttavia, minaccia gli attori devono avere già un account con un livello di privilegi utente per tirare fuori un attacco.

Intel ha rilasciato gli aggiornamenti del firmware per risolvere questi problemi di sicurezza.

Consulenza in materia di Intel RWC3 è stato pubblicato anche che i dettagli di una singola falla di sicurezza, CVE-2019-11119, che gli impatti della console web versione del sistema 4.186 e precedenti.

TechRepublic: Come proteggere la propria rete contro le falle di sicurezza in Microsoft protocollo NTLM

Una mancanza di sessione di validazione in servizio API “potrebbe consentire a un utente non autenticato potenzialmente consentire l’escalation dei privilegi di una via di accesso alla rete”, secondo Intel, leader per i bug che ha assegnato un livello di gravità critico di 8.9.

Intel ha ringraziato Alessandro Ermolov, Ruslan Zakirov, Malyutin Maksim per la ricerca e la segnalazione di vulnerabilità.

Nel mese di aprile, Intel ha risposto a ciò che ricercatori hanno chiamato il “Spoiler” di attacco (CVE-2019-0162), in cui le debolezze insite in Intel per sistemi di memoria che potrebbe essere sfruttata per esporre indirizzo virtuale mappatura di indirizzi di memoria fisica.

CNET: Huawei ban: Full timeline su come e perché i suoi telefoni sono sotto il fuoco

Mentre la società ha tenuto a sottolineare che i dati personali non può essere compromessa attraverso Spoiler, il problema non impatto Cpu Intel indietro alla prima generazione di hardware.

Intel ha dato la vulnerabilità di un basso livello di gravità e che “a canale laterale di sicurezza pratiche di sviluppo del software” essere impiegati per ridurre il rischio di exploit.

Precedente e relativa copertura

Tutti i chip Intel aperto a nuovi Spoiler non Spectre attacco: non aspettatevi un quick fix
Windows 10 grafica: Intel avverte, patch 19 gravi driver difetti ora
Le Cpu Intel influenzato dalle nuove Zombieload canale laterale attacco

Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0

Argomenti Correlati:

Intel

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati