修復堆溢位漏洞
英特爾釋出11月安全補丁公告,本次更新一共修復了77個漏洞,其中有67個漏洞是由英特爾內部人員發現的。
受影響的產品包括英特爾CSME,英特爾SPS,英特爾TXE,英特爾AMT,英特爾PTT和英特爾程式載入DAL。
其中包含一個CVSS高達9.6分的高危漏洞。漏洞名為CVE-2019-0169,漏洞型別是堆溢位漏洞,該漏洞存在可管理性引擎,CSME的子系統中。
該子系統是Intel CPU上的一個獨立晶片,可用於遠端管理,利用這個漏洞會導致攻擊者未經身份驗證透過相鄰訪問來啟用特權升級,從而造成資訊洩露或拒絕服務。
什麼是相鄰訪問呢?意思是攻擊者必須和受害者使用相同的網路或IP,或從相同的安全VPN或網路區域內才能發起攻擊,因此漏洞利用存在一定限制。
其他漏洞
除此之外,英特爾也修復了其他嚴重等級的漏洞,具體如下:
CVE-2019-11132:跨站點指令碼(XSS)漏洞,存在於Intel AMT的子系統中,允許特權使用者透過網路訪問來啟用特權升級。
CVE-2019-11147:訪問控制問題,存在於用於Intel CSME的MEInfo軟體、TXEInfo軟體以及INTEL-SA-00086和INTEL-SA-00125檢測工具的驅動程式中,會導致經過驗證的本地使用者提高特權。
CVE-2019-0131:輸入驗證漏洞,存在於英特爾AMT子系統中,遠端攻擊者可利用此漏洞執行任意程式碼。
目前,英特爾已經發布相關的韌體更新和軟體補丁來解決這些問題,使用這些產品的使用者請儘快更新。
* 本文由看雪編輯 LYA 編譯自 Threat Post,轉載請註明來源及作者。
* 原文連結:
https://threatpost.com/intel-critical-info-disclosure-bug-security-engine/150124/