云安全日报201012:因特尔芯片发现特权升级高危漏洞,需要尽快升级

Release time:2020-10-12
author:
source:TechWeb
reading:2003

Intel AMT其全称为INTEL Active Management Technology(英特尔主动管理技术),它实质上是一种集成在芯片组中的嵌入式系统(类似BIOS),不依赖特定的操作系统。 英特尔主动管理技术(AMT)内置于现代基于英特尔的笔记本电脑和台式机中,可对设备进行远程带外管理。英特尔AMT在英特尔管理引擎(CSME或ME)上运行,具有自己的网络功能和TCP/IP堆栈,完全独立于操作系统。

鉴于AMT旨在提供对系统的管理,因此任何漏洞都会使攻击者对受害设备具有极大的控制权。而最近因特尔芯片中AMT爆出了诸多重要漏洞,或将影响数以百万计的企业级笔记本和台式机。以下是漏洞详情:

漏洞详情

这些漏洞至关重要。首先,它们可以通过泄漏数据或为攻击者提供对设备的强大特权而无需物理访问硬件,从而对组织产生重大影响。其次,许多组织缺乏对这些类型漏洞的可见性,因此可能看不到其攻击面的重要部分。

1.CVEID:CVE-2020-8758 CVSS评分: 9.8 高危

该漏洞是由于网络子系统中的缓冲区限制不当,可能会导致未经身份验证的用户潜在地启用通过网络访问权限升级。在未配置的系统上,通过身份验证的用户可能会通过本地访问启用特权升级。

2.CVEID:CVE-2019-11131 CVSS评分:9.8 高危

该漏洞是由于验证不足,可能导致未经身份验证的用户通过网络访问权限升级。

3.CVEID:CVE-2019-11107 CVSS评分:9.8 高危

该漏洞是由于输入验证不足,可能导致未经身份验证的用户通过网络访问权限升级。

4.CVEID:CVE-2019-11132 CVSS评分:8.4 高

该漏洞是由于跨站点脚本问题导致的,该问题可能允许特权用户通过网络访问来升级特权。

5.CVEID:CVE-2019-0166 CVSS评分:7.5 高

该漏洞是由于输入验证不足,可能会导致未经身份验证的用户通过网络访问泄露信息。

受影响的产品

上述漏洞影响11.8.79、11.12.79、11.22.79、12.0.68和14.0.39之前的英特尔®AMT和英特尔®ISM(标准管理)版本,使用了这些管理技术的企业级笔记本和台式机都将受到影响。

注意:不再支持Intel®AMT 3.x至10.x的固件版本。

解决方案

英特尔建议英特尔®AMT和英特尔®ISM的用户更新为系统制造商提供的可解决这些问题的最新版本。

查看更多漏洞信息 以及升级请访问官网:

https://www.intel.com/content/www/us/en/security-center/default.html


("Note: The information presented in this article is gathered from the internet and is provided as a reference for educational purposes. It does not signify the endorsement or standpoint of our website. If you find any content that violates copyright or intellectual property rights, please inform us for prompt removal.")

Previous:美信推出红外LED传感器阵列技术,性能媲美ToF成本降至十分之一

Next:当AI遇到FPGA,低功耗智能探测系统不再是难题

Online messageinquiry

reading
Popular categories
Boxes, Enclosures, Racks Cables, Wires Circuit Protection Connectors, Interconnects Development Kits Electromechanical Embedded Solutions Fans, Thermal Management Optoelectronics Others Passive Components Power Semiconductors Sensors, Transducers Test and Measurement
  • Week of hot material
  • Material in short supply seckilling
model brand Quote
RB751G-40T2R ROHM Semiconductor
BD71847AMWV-E2 ROHM Semiconductor
TL431ACLPR Texas Instruments
MC33074DR2G onsemi
CDZVT2R20B ROHM Semiconductor
model brand To snap up
TPS63050YFFR Texas Instruments
BU33JA2MNVX-CTL ROHM Semiconductor
BP3621 ROHM Semiconductor
STM32F429IGT6 STMicroelectronics
IPZ40N04S5L4R8ATMA1 Infineon Technologies
ESR03EZPJ151 ROHM Semiconductor
Hot labels
ROHM
IC
Averlogic
Intel
Samsung
IoT
AI
Sensor
Chip
Original authorized brand
More Licensed Brands>>
Information leaderboard
  • Week of ranking
  • Month ranking

About us

Qr code of ameya360 official account

Identify TWO-DIMENSIONAL code, you can pay attention to

AMEYA360 weixin Service Account AMEYA360 weixin Service Account
AMEYA360 mall (www.ameya360.com) was launched in 2011. Now there are more than 3,500 high-quality suppliers, including 6 million product model data, and more than 1 million component stocks for purchase. Products cover MCU+ memory + power chip +IGBT+MOS tube + op amp + RF Bluetooth + sensor + resistor capacitance inductor + connector and other fields. main business of platform covers spot sales of electronic components, BOM distribution and product supporting materials, providing one-stop purchasing and sales services for our customers.

Please enter the verification code in the image below:

verification code