聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

英特尔公司披露了影响大量英特尔处理器家族的两个高危漏洞CVE-2021-0157和CVE-2021-0158，它们的CVSS v3 漏洞评分均为8.2，可导致攻击者获得更高的设备权限。另外该公司还修复了影响物联网设备且可引发供应链攻击的另一个高危缺陷CVE-2021-0146（CVSS 评分7.2）。

01

可导致提权的两个高危漏洞

CVE-2021-0157 和某些英特尔处理器中的BIOS 固件控制流管理不充分有关，CVE-2021-0158是由同样组件上的输入验证不当导致的。这些漏洞可导致机器提权后果，不过前提是攻击者能够物理访问易受攻击的设备。

英特尔发布安全公告称，受影响产品如下：

• Intel® Xeon® Processor E Family

• Intel® Xeon® Processor E3 v6 Family

• Intel® Xeon® Processor W Family

• 第3代 Intel® Xeon® Scalable Processors

• 第11代 Intel® Core™ Processors

• 第10代 Intel® Core™ Processors

• 第7代 Intel® Core™ Processors

• Intel® Core™ X-series Processors

• Intel® Celeron® Processor N Series

• Intel® Pentium® Silver Processor Series

虽然英特尔公司并未给出这两个漏洞的技术详情，但建议用户应用可用的 BIOS 更新修复这些漏洞。由于主板厂商通常不会发布 BIOS 更新且不会通过安全更新的形式长久支持产品，因此会造成新问题。鉴于第7代英特尔Core 处理器是在5年前发布的，因此MB 厂商是否还会发布安全BIOS更新值得怀疑。于是，某些用户将无法修复这两个缺陷。在这种情况下建议为访问 BIOS 设置设立强密码。

02

影响汽车的第三个高危漏洞

英特尔还在同一天单独发布了关于另外一个漏洞CVE-2021-0146的安全公告。该漏洞也是一个高危（CVSS评分 7.2）漏洞，属于提权漏洞。

英特尔公司在安全公告中指出，“硬件允许在某些英特尔处理器运行时激活测试或调试逻辑，可能导致未认证用户通过物理访问权限启用提权。”

该漏洞影响如下产品：

英特尔已发布固件更新缓解该缺陷，系统厂商将为提供补丁。

发现并报告该漏洞的 Positive Technologies 公司表示该缺陷可导致威胁行动者获得对高敏感度信息的访问权限。

发现该漏洞的研究员 Mark Ermolov 表示，“真实威胁的例子，比如丢失或被盗的笔记本中包含加密的机密信息。攻击者可利用该漏洞提取加密密钥并获得对笔记本内信息的访问权限。该漏洞也可被用于针对性供应链攻击中。比如，从理论上来讲，英特尔处理器设备提供商的员工能够提取英特尔CSME 固件密钥并部署安全软件无法检测到的间谍软件。“

03

影响特斯拉 Model 3

Positive Technologies 公司表示该缺陷还影响使用 Intel Atom E3900 的特斯拉 Model 3的多款车型。

用户应应用设备厂商提供的 BIOS 更新，因此用户应定期查看厂商网站是否提供该更新。

需要记住的是，在应用补丁前最好在单独系统上备份数据或者可删除的媒体，因为更新可能会出错。这些缺陷主要影响暴露的可使很多人访问的工业和企业环境中的系统。

至于汽车而言，只有访问汽车内部构造的服务点和车辆技工才有机会利用该漏洞。

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

对话奇安信代码安全丨十年砥砺前行  迎来软件供应链安全的风口

数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响

英特尔 SPI Flash 中存在缺陷 攻击者能更改或删除 BIOS/UEFI 固件

至少四款母板受BIOS固件实现的缺陷影响

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

原文链接

https://www.bleepingcomputer.com/news/security/high-severity-bios-flaws-affect-numerous-intel-processors/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~