英特尔已警告CSME安全引擎中存在严重漏洞,并敦促用户尽快应用现已可用的修复程序。
英特尔融合安全与管理引擎(CSME)是芯片组子系统,可为英特尔的主动管理技术提供支持。
根据周二发布的安全公告,CSME受到固件漏洞的影响,该漏洞是由英特尔安全团队在内部发现的,如果被利用,则本地威胁参与者可以发起特权升级,拒绝服务和信息泄露攻击。
漏洞跟踪为CVE-2019-14598,其CVSS基本得分为8.2,认为该问题很严重-最高严重等级。
英特尔已发布固件更新来缓解此漏洞,该漏洞会影响12.0.49之前的CSME版本(仅包括IOT:12.0.56),13.0.21和14.0.11。
英特尔建议将系统制造商提供的CSME版本更新为12.0.49、13.0.21和14.0.11或更高版本,以解决这些问题。“英特尔建议使用CSME版本12.0.55的IOT客户将其更新到系统制造商提供的12.0.56或更高版本,以解决这些问题。”
另一批更新针对Windows的Intel RAID Web Console 2(RWC2)和RAID Web Console 3(RWC3)中的安全问题。
第一个漏洞CVE-2020-0562会影响RWC2的所有版本,并且基本得分为6.7,将漏洞分类为中级。经过本地身份验证的用户可以利用此漏洞来提升他们的特权;但是,英特尔不会修补此问题。
相反,英特尔表示该产品将停产,并建议用户升级到RWC3-这是安全通报中的下一个漏洞。
第二个安全漏洞是相同的,具有相同的潜在后果。跟踪为CVE-2020-0564,此安全漏洞影响7.010.009.000之前的RWC3。
在3.8.6版之前,英特尔的Manycore平台软件栈(MPSS)还收到了解决CVE-2020-0563的修复程序,该漏洞是中等严重性问题,基本得分为6.7。由于权限处理不当,未经身份验证的用户可以利用此漏洞来通过本地访问启用特权升级。
英特尔还标记了一个中等严重性的安全问题CVE-2020-0560-但该公司将不会发布补丁。此错误影响英特尔瑞萨电子USB 3.0驱动程序,并允许在所有版本上提升特权。
该技术巨头表示:“ [英特尔建议英特尔瑞萨电子USB 3.0驱动程序的用户尽快卸载它或停止使用。”
英特尔还解决了英特尔软件保护扩展(SGX)中的一个低严重性漏洞。跟踪为CVE-2020-0561的不正确初始化问题发布的基本得分为2.5,它可能允许经过身份验证的用户通过本地访问来提升其特权。
微软本周还发布了每月的安全补丁程序,2月份的补丁程序共解决了99个漏洞,其中11个被视为严重漏洞。更新中包括Internet Explorer,Edge浏览器,Microsoft Exchange Server和Microsoft Office等软件。
Adobe也解决了软件中的许多关键缺陷,包括Acrobat和Reader,Flash和Adobe Experience Manager。
在相关新闻中,微软于本月初发布了针对Windows 10版本1909和1903的英特尔更新,以帮助英特尔分发受防范投机执行攻击的固件。芯片更新尝试修复Zombieload攻击,辐射,不可缓存的内存问题以及加载缓冲区安全漏洞。