Intel 警告注意 CSME 引擎中的严重漏洞,发布产品停产通知
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Intel 警告称 CSME 安全引擎中存在一个严重漏洞,并督促用户尽快应用已发布的修复方案。
Intel Converged Security and Management Engine(CSME,即融合安全和可管理性引擎)是推动 Intel 活动管理技术的芯片集子系统。
Intel 公司在周二发布安全公告称,CSME 受某该公司安全团队发现的某固件漏洞影响。该漏洞如遭利用,可导致本地威胁行动者发动提权、拒绝服务和信息泄露攻击。
该漏洞的CVE编号为 CVE-2019-14598,CVSS 基本分为 8.2,属于“严重”等级。Intel 已发布固件更新以缓解该漏洞。该漏洞影响 12.0.49(仅包括 IOT:12.0.56)、13.0.21 和14.0.11 版本之前的版本。
Intel 公司表示,“Intel 公司推荐更新至 CSME版本12.0.49、13.0.21和14.0.11或后续版本。Intel建议 IOT 客户将 CSME版本12.0.55更新至12.0.56或后续版本。”
Intel 还发布了针对Windows 版本的 RAID Web Console 2 (RWC2) 和 RAID Web Console 3 (RWC3) 的安全更新。
第一个漏洞 CVE-2020-0562 影响所有 RWC2 版本,CVSS 基本分为6.7,属于“中危”漏洞。本地经认证的用户可利用该缺陷提权,不过 Intel 公司将不会修复该问题,而是表示该产品将停产,建议用户更新至 RWC3版本。
第二个漏洞 CVE-2020-0564 会产生相同的潜在后果,它影响 7.010.009.000 版本之前的 RWC3 产品。
Intel Manycore Platform Software Stack (MPSS) 版本3.8.6 之前的版本已收到修复方案以解决 CVE-2020-0563。该漏洞为中危漏洞,CVSS 基本分是6.7。未经认证的用户能利用该漏洞通过因权限处理不正确而造成的本地权限而引发的提权。
Intel 公司还提到了另外一个中危漏洞 CVE-2020-0560,它影响 Intel Renesas Electronics USB 3.0 驱动,可导致在所有版本中的提权的后果。Intel 公司表示不会修复该漏洞,而是推荐用户卸载或停止使用该产品。
Intel 公司还修复了Intel SGX 中的一个低危漏洞 CVE-2020-0561,它是一个初始化不当问题,其 CVSS 基本分为2.5分,可导致认证用户通过本地访问权限提权。
本周,微软也发布月度更新,修复了99个漏洞。Adobe 也解决了十多个漏洞问题。本月早些时候,微软发布 Windows 10 版本1909和1903 的 Intel 更新以协助 Intel 分发固件,以抵御推断性执行攻击。芯片更新试图修复引发 Zoombieload 攻击、Fallout、不可缓存的内存问题以及加载缓冲区安全缺陷问题。
推荐阅读
Intel 警告:BMC 固件存在严重漏洞,影响大量机器
比 Meltdown 和 Sepctre 更凶险:四个 CPU 新缺陷影响几乎所有英特尔处理器
原文链接
https://www.zdnet.com/article/intel-warns-of-critical-security-flaw-in-csme-engine/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~
Intel 警告注意 CSME 引擎中的严重漏洞,发布产品停产通知相关推荐
- Kubernetes 的CRI-O容器引擎中存在严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 元宇宙开发:你在虚幻引擎中的第一个虚拟现实游戏
了解如何开发零编程背景的Oculus Quest游戏 你会学到什么 为Oculus Quest构建应用程序 设计和开发虚拟现实游戏 在虚幻引擎中工作 使用材料和纹理 优化内容,实现移动和虚拟现实游戏的 ...
- 有关高级关系引擎中存在错误
SQL server2005 Analysis Services项目中出现以下错误 高级关系引擎中存在错误. 无法与 DataSourceID 为"Adventure Works DW&qu ...
- 跟着石头哥哥学cocos2d-x(三)---2dx引擎中的内存管理模型
2019独角兽企业重金招聘Python工程师标准>>> 2dx引擎中的对象内存管理模型,很简单就是一个对象池+引用计数,本着学好2dx的好奇心,先这里开走吧,紧接上面两节,首先我们看 ...
- html 物理引擎,在物理引擎中画圆弧
本文作者:IMWeb zzbozheng 未经同意,禁止转载 因为需求的需要,要使用在物理引擎中使用四分之一圆弧,我们来看看怎么实现在物理引擎中画出四分之一的圆弧, 在物理引擎中绘制圆弧 一般来说,物 ...
- 【Android 插件化】使用 PluginKiller 帮助应用开发者规避发布的 APK 安装包被作为插件的风险 ( 验证应用是否运行在插件化引擎中 )
文章目录 前言 一.应用开发者规避 APK 安装包被作为插件 二.检测插件化环境 1.检查 AndroidManifest.xml 清单文件 2.检查 运行时 信息 3.检查生成的目录 4.检查组件 ...
- 为什么 select count(*) from t,在 InnoDB 引擎中比 MyISAM 慢?
统计一张表的总数量,是我们开发中常有的业务需求,通常情况下,我们都是使用 select count(*) from t SQL 语句来完成.随着业务数据的增加,你会发现这条语句执行的速度越来越慢,为什 ...
- 实践 | Kylin在滴滴OLAP引擎中的应用
2019独角兽企业重金招聘Python工程师标准>>> 本文转载自 AI前线 作者 | 滴滴数据平台团队 编辑 | Vincent AI 前线导读:企业的生产活动会产生各种各样的数据 ...
- ASP.NET MVC 3: Razor视图引擎中 @: 和text 语法【转载】
ASP.NET MVC 3: Razor视图引擎中 @: 和<text> 语法[转载] (文章没翻译:建议大家读英文原文,看不懂查着看,顺便提高自己的英语水平!) In today's p ...
最新文章
- java 三个参数的运算符,java – 三个参数运算符:局部变量可能尚未初始化
- MATLAB从入门到精通-MATLAB零矩阵zeros()函数使用方法汇总
- flask项目开发中,遇到http 413错误
- continue详细讲解
- java 和_java中的和=是什么意思
- 2d Laser 和 camera 标定工具原理及使用方法
- linux防火墙--iptables(三)
- x86/x64编程基础
- Linux网站搭建(1)---Apache2安装配置
- 用于无人驾驶技术的车道线_自动驾驶汽车可用于查找车道的4种技术
- librdkafka官方Demo在Windows上运行与使用
- CTS2019朝圣 x 打铁记
- 正在开启,一名金融猎头的二十年 | 专访伯乐百万金融顾问 Leslie Xu
- #91;#12304;#26469;#20998;#26399;#23458;#26381;#30005;#35805;#12305;#93;
- 定位弹窗软件----找到真凶并做后续防御
- STM32SD卡实现USB虚拟U盘
- 元宇宙的未来:以上帝视角掌控一切,你准备好了吗?
- 咪蒙微信公众号已被注销 酷玩实验室因不实报道道歉
- 绘制三维多面体 Matlab,已知一些随机的三维坐标点,怎么用matlab把这些点绘制成多面体,急求程序代码啊...
- C++经典算法题-洗扑克牌(乱数排列)