Intel løser alvorlige NUC firmware, web-konsollen sårbarheder

0
19

Intel hits 10 generation Core med 10nm Ice Lake lancering
Chip-giganten endelig bringer 10nm fremstillingsprocessen for at desktop chips.

Intel har afsløret en række sjældne og meget alvorlige fejl påvirker Intel NUC firmware og Intel RAID Web-Konsollen, 3 (RWC3) til Windows.

Tirsdag, den tech gigant udgivet et sæt af sikkerhedsbulletiner i forbindelse med de spørgsmål, som RWC3 patches er nu tilgængelig for download.

Hovedparten af den opdatering, men vedrører Intel Next Unit of Computing (NUC) firmware, der anvendes i en bred vifte af Pc ‘ er med lille formfaktor.

I alt 39 produkter, der er baseret på NUC firmware herunder NUC Kit NUC8i3BEx, Beregne Stick STK2MV64CC, NUC Kit NUC5CPYH, og Beregne Kort CD1IV128MK er påvirket.

Den første sårbarhed bemærk, CVE-2019-11127, er en buffer overflow problem, som kan tillade rettighedsforøgelse, hvis lokal-adgang er til rådighed. Den anden lokale sårbarhed, CVE-2019-11128, har været forårsaget af utilstrækkelig fornuftighedskontrol af inddata, som ikke alene kan resultere i rettighedsforøgelse, men også ” denial of service) eller informationslækage.

Begge fejl er blevet udstedt en CVSS-score på 8,2 og anses for kritisk.

Se også: Intel endelig spørgsmål Spoiler attack alert: Nu ikkeryger-Spectre udnytte får CVE men ingen patch

Yderligere fem sårbarheder, der alle har været udsendt en kritisk severity score på 7.5, er også blevet løst i den seneste NUC firmware opdatering.

En manglende korrekt vis sessioner (CVE-2019-11123), to ud af bundet læse/skrive problemer (CVE-2019-11124, CVE-2019-11129), en utilstrækkelig fornuftighedskontrol af inddata fejl (CVE-2019-11125), og markøren korruption (CVE-2019-11126) er alle blevet løst.

Hvis venstre unpatched, disse fejl kan føre til en rettighedsforøgelse, lammelsesangreb (denial of service, og offentliggørelse af oplysninger. Men truslen aktører skal have adgang til en konto med en grad af bruger-rettigheder i stedet for at trække ud for et angreb.

Intel har frigivet firmware-opdateringer til løsning af disse problemer med sikkerheden.

Et rådgivende i relation til Intel ‘ s RWC3 er også blevet offentliggjort, at oplysninger en enkelt sikkerhedshul, CVE-2019-11119, som påvirker web-konsol system version 4.186 og tidligere.

TechRepublic: Hvordan til at beskytte dit netværk mod sikkerhedshuller i Microsofts NTLM-protokollen

En manglende session validering i service API “kan gøre det muligt for en ikke-godkendt bruger til potentielt muliggøre en optrapning af rettigheder via netadgang,” ifølge Intel, der fører til fejlen blive tildelt en kritisk sikkerhedsklassifikation af 8.9.

Intel takkede Alexander Ermolov, Ruslan Zakirov, Malyutin Maksim for at finde og rapportering af sårbarheder.

I April, Intel svarede til, hvad forskere har kaldt den “Spoiler” – angreb (CVE-2019-0162), hvor iboende svagheder i Intel ‘ s memory-systemer kan udnyttes til at udsætte virtuel adresse kortlægning af den fysiske hukommelse adresser.

CNET: Huawei forbud: Fuld tidslinje på, hvordan og hvorfor-telefoner er under beskydning

Mens selskabet var ivrige efter at understrege, at private data, der ikke kunne blive kompromitteret gennem Spoiler, spørgsmålet er virkningen Intel Cpu ‘ er tilbage til den første generation af hardware.

Intel gav den svaghed, en lav-sikkerhedsklassifikation og anbefalede, at “side-kanal sikker software, udvikling af praksis” anvendes til at mindske risikoen for, at udnytte.

Tidligere og relaterede dækning

Alle Intel-chips åben for nye Spoiler ikke-Spectre angriber: forvent ikke et hurtigt fix
Windows 10-grafik: Intel advarer om, patch 19 alvorlige driver fejl nu
Intels Cpu ‘ er, der påvirkes af nye Zombieload side-channel-angreb

Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0

Relaterede Emner:

Intel

Sikkerhed-TV

Data Management

CXO

Datacentre