Intel fixar allvarliga NUC firmware, web console sårbarheter

0
42

Intel träffar 10: e generation Core med 10mn Ice Lake lanseringen
Chip jätte slutligen ger 10mn tillverkningsprocessen till skrivbordet marker.

Intel har visat en uppsättning av hög svårighetsgrad brister som påverkar Intel NUC firmware och Intel RAID Web Console 3 (RWC3) för Windows.

På tisdag, den tekniska jätte släppt en uppsättning säkerhetsbulletiner för de frågor som RWC3 fläckar är nu tillgänglig för nedladdning.

Huvuddelen av uppdateringen, dock gäller Intel Next Unit of Computing (NUC) firmware, som används i en mängd olika Datorer med små formfaktorer.

En summa av 39 produkter baserade på NUC firmware inklusive NUC Kit NUC8i3BEx, Beräkna Stick STK2MV64CC, NUC Kit NUC5CPYH, och Beräkna Kort CD1IV128MK påverkas.

Det första problemet att notera, CVE-2019-11127, är en buffer overflow-problem som kan möjliggöra utökning av privilegier om lokal access är tillgängliga. Den andra lokala sårbarhet, CVE-2019-11128, har orsakats av otillräcklig kontroll av indata som kan inte bara leda till utökning av privilegier utan även överbelastning eller avslöjande av information.

Både buggar har utfärdats en CVSS betyg av 8.2 och bedöms vara kritiska.

Se även: Intel slutligen frågor Spoiler attack varning: Nu icke-Spectre utnyttja får CVE men ingen patch

Ytterligare fem sårbarheter, av vilka alla har utfärdats en kritisk värdering av svårighetsgrad 7.5, har också varit löst i den senaste NUC firmware uppdatering.

En underlåtenhet att korrekt validera sessioner (CVE-2019-11123), två av bundna läsa/skriva frågor (CVE-2019-11124, CVE-2019-11129), en otillräcklig indata fel (CVE-2019-11125), och pekaren korruption (CVE-2019-11126) har alla lösts.

Om vänster okorrigerad, dessa fel kan leda till utökning av privilegier, denial of service, och utlämnande av uppgifter. Men, hot aktörer måste redan ha tillgång till ett konto med en användare privilegium på plats för att dra igång en attack.

Intel har släppt firmware-uppdateringar för att lösa de här problemen.

En rådgivande gäller Intels RWC3 har också publicerats som beskriver en enda säkerhetsbrist, CVE-2019-11119 som påverkar web console system version 4.186 och tidigare.

TechRepublic: Hur du skyddar ditt nätverk mot säkerhetshål i Microsofts NTLM-protokollet

En brist på sessionen validering i tjänst API “kan en oautentiserad användare för att eventuellt möjliggöra en upptrappning av förmånen via nätet tillgång”, enligt Intel, som leder till fel som tilldelas en kritisk risknivå av 8.9.

Intel tackade Alexander Ermolov, Ruslan Zakirov, Malyutin Maksim för att hitta och rapportera säkerhetsproblem.

I April, Intel svarade på vad forskare som kallas “Spoiler” – attack (CVE-2019-0162), i vilken inneboende svagheter i Intels minne system kan utnyttjas för att exponera virtuella adress-mappning till fysiska adresser.

CNET: Huawei förbud: Full tidslinje på hur och varför sina telefoner under brand

Medan företaget var angelägen om att betona att privata data som inte kunde äventyras genom Spoiler, problemet inte påverkar Intel Cpuer tillbaka till den första generationen av hårdvara.

Intel gav sårbarheten en låg risknivå och rekommenderas som “side-kanal säker utveckling av programvara metoder användas för att minska risken för att utnyttja.

Tidigare och relaterade täckning

Alla Intel marker öppna för nya Spoiler icke-Spectre attack: förvänta dig inte en quick fix
Windows 10 grafik: Intel varnar patch 19 svår föraren brister nu
Intel Cpuer påverkas av nya Zombieload sida-kanal attack

Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0

Relaterade Ämnen:

Intel

Säkerhet-TV

Hantering Av Data

CXO

Datacenter