聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Intel 警告称 CSME 安全引擎中存在一个严重漏洞，并督促用户尽快应用已发布的修复方案。

Intel Converged Security and Management Engine（CSME，即融合安全和可管理性引擎）是推动 Intel 活动管理技术的芯片集子系统。

Intel 公司在周二发布安全公告称，CSME 受某该公司安全团队发现的某固件漏洞影响。该漏洞如遭利用，可导致本地威胁行动者发动提权、拒绝服务和信息泄露攻击。

该漏洞的CVE编号为 CVE-2019-14598，CVSS 基本分为 8.2，属于“严重”等级。Intel 已发布固件更新以缓解该漏洞。该漏洞影响 12.0.49（仅包括 IOT：12.0.56）、13.0.21 和14.0.11 版本之前的版本。

Intel 公司表示，“Intel 公司推荐更新至 CSME版本12.0.49、13.0.21和14.0.11或后续版本。Intel建议 IOT 客户将 CSME版本12.0.55更新至12.0.56或后续版本。”

Intel 还发布了针对Windows 版本的 RAID Web Console 2 (RWC2) 和 RAID Web Console 3 (RWC3) 的安全更新。

第一个漏洞 CVE-2020-0562 影响所有 RWC2 版本，CVSS 基本分为6.7，属于“中危”漏洞。本地经认证的用户可利用该缺陷提权，不过 Intel 公司将不会修复该问题，而是表示该产品将停产，建议用户更新至 RWC3版本。

第二个漏洞 CVE-2020-0564 会产生相同的潜在后果，它影响 7.010.009.000 版本之前的 RWC3 产品。

Intel Manycore Platform Software Stack (MPSS) 版本3.8.6 之前的版本已收到修复方案以解决 CVE-2020-0563。该漏洞为中危漏洞，CVSS 基本分是6.7。未经认证的用户能利用该漏洞通过因权限处理不正确而造成的本地权限而引发的提权。

Intel 公司还提到了另外一个中危漏洞 CVE-2020-0560，它影响 Intel Renesas Electronics USB 3.0 驱动，可导致在所有版本中的提权的后果。Intel 公司表示不会修复该漏洞，而是推荐用户卸载或停止使用该产品。

Intel 公司还修复了Intel SGX 中的一个低危漏洞 CVE-2020-0561，它是一个初始化不当问题，其 CVSS 基本分为2.5分，可导致认证用户通过本地访问权限提权。

本周，微软也发布月度更新，修复了99个漏洞。Adobe 也解决了十多个漏洞问题。本月早些时候，微软发布 Windows 10 版本1909和1903 的 Intel 更新以协助 Intel 分发固件，以抵御推断性执行攻击。芯片更新试图修复引发 Zoombieload 攻击、Fallout、不可缓存的内存问题以及加载缓冲区安全缺陷问题。

推荐阅读

Intel 警告：BMC 固件存在严重漏洞，影响大量机器

比 Meltdown 和 Sepctre 更凶险：四个 CPU 新缺陷影响几乎所有英特尔处理器

原文链接

https://www.zdnet.com/article/intel-warns-of-critical-security-flaw-in-csme-engine/

题图：Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 不停~