多个高危 BIOS 缺陷影响英特尔处理器,特斯拉 Model 3 未幸免,可用于供应链攻击...
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
英特尔公司披露了影响大量英特尔处理器家族的两个高危漏洞CVE-2021-0157和CVE-2021-0158,它们的CVSS v3 漏洞评分均为8.2,可导致攻击者获得更高的设备权限。另外该公司还修复了影响物联网设备且可引发供应链攻击的另一个高危缺陷CVE-2021-0146(CVSS 评分7.2)。
01
可导致提权的两个高危漏洞
CVE-2021-0157 和某些英特尔处理器中的BIOS 固件控制流管理不充分有关,CVE-2021-0158是由同样组件上的输入验证不当导致的。这些漏洞可导致机器提权后果,不过前提是攻击者能够物理访问易受攻击的设备。
英特尔发布安全公告称,受影响产品如下:
Intel® Xeon® Processor E Family
Intel® Xeon® Processor E3 v6 Family
Intel® Xeon® Processor W Family
第3代 Intel® Xeon® Scalable Processors
第11代 Intel® Core™ Processors
第10代 Intel® Core™ Processors
第7代 Intel® Core™ Processors
Intel® Core™ X-series Processors
Intel® Celeron® Processor N Series
Intel® Pentium® Silver Processor Series
虽然英特尔公司并未给出这两个漏洞的技术详情,但建议用户应用可用的 BIOS 更新修复这些漏洞。由于主板厂商通常不会发布 BIOS 更新且不会通过安全更新的形式长久支持产品,因此会造成新问题。鉴于第7代英特尔Core 处理器是在5年前发布的,因此MB 厂商是否还会发布安全BIOS更新值得怀疑。于是,某些用户将无法修复这两个缺陷。在这种情况下建议为访问 BIOS 设置设立强密码。
02
影响汽车的第三个高危漏洞
英特尔还在同一天单独发布了关于另外一个漏洞CVE-2021-0146的安全公告。该漏洞也是一个高危(CVSS评分 7.2)漏洞,属于提权漏洞。
英特尔公司在安全公告中指出,“硬件允许在某些英特尔处理器运行时激活测试或调试逻辑,可能导致未认证用户通过物理访问权限启用提权。”
该漏洞影响如下产品:
英特尔已发布固件更新缓解该缺陷,系统厂商将为提供补丁。
发现并报告该漏洞的 Positive Technologies 公司表示该缺陷可导致威胁行动者获得对高敏感度信息的访问权限。
发现该漏洞的研究员 Mark Ermolov 表示,“真实威胁的例子,比如丢失或被盗的笔记本中包含加密的机密信息。攻击者可利用该漏洞提取加密密钥并获得对笔记本内信息的访问权限。该漏洞也可被用于针对性供应链攻击中。比如,从理论上来讲,英特尔处理器设备提供商的员工能够提取英特尔CSME 固件密钥并部署安全软件无法检测到的间谍软件。“
03
影响特斯拉 Model 3
Positive Technologies 公司表示该缺陷还影响使用 Intel Atom E3900 的特斯拉 Model 3的多款车型。
用户应应用设备厂商提供的 BIOS 更新,因此用户应定期查看厂商网站是否提供该更新。
需要记住的是,在应用补丁前最好在单独系统上备份数据或者可删除的媒体,因为更新可能会出错。这些缺陷主要影响暴露的可使很多人访问的工业和企业环境中的系统。
至于汽车而言,只有访问汽车内部构造的服务点和车辆技工才有机会利用该漏洞。
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
对话奇安信代码安全丨十年砥砺前行 迎来软件供应链安全的风口
数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响
英特尔 SPI Flash 中存在缺陷 攻击者能更改或删除 BIOS/UEFI 固件
至少四款母板受BIOS固件实现的缺陷影响
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
原文链接
https://www.bleepingcomputer.com/news/security/high-severity-bios-flaws-affect-numerous-intel-processors/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
多个高危 BIOS 缺陷影响英特尔处理器,特斯拉 Model 3 未幸免,可用于供应链攻击...相关推荐
- AMD笑了!英特尔处理器Spoiler漏洞真没法
近日有研究机构发现,英特尔的处理器中还存在另一个令人讨厌的投机性执行漏洞,被命名为 Spoiler,此事令 AMD 更受到市场关注.麻塞诸州伍斯特理工学院及德国吕贝克大学的计算器科学家发表了一篇报告指 ...
- 英特尔处理器曝出重大安全漏洞,迫使 Linux 和 Windows 更新设计
点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 日前,英特尔处理器被曝存在重大底层设计缺陷,迫使 Linux 和 Windows 内核需要展 ...
- 英特尔处理器上有8个新的漏洞
安全 英特尔处理器上有8个新的漏洞(Spectre-NG) 由Ashkan 最后更新于1397年5月27日 490 0 一个安全研究团队最近宣布从Spectre类中发现了八个漏洞.研究人员表示 ...
- 笔记本电脑处理器_苹果高管:我们都没有想到M1的性能有那么强|英特尔|处理器|iphone|ipad|笔记本电脑...
苹果近日发布了自主研发处理器M1以及搭载新处理器的笔记本电脑,显示其速度和效率都有很大提升.发布会结束不久,苹果三位最资深的高管--营销总监格雷格·乔维亚克(Greg Joswiak).软件主管克雷格 ...
- 苹果面向Mac发布英特尔处理器漏洞缓解措施
2019独角兽企业重金招聘Python工程师标准>>> 去年苹果向Safari浏览器推出安全更新以修复基于ARM价格和英特尔的处理器存在的推测执行系列安全漏洞. 不过当时苹果并未发布 ...
- 英特尔+性能+linux,Linux 4.20内核在英特尔处理器上性能比Linux 4.19低,附原因解释...
在最新的Linux 4.20内核(Linux Kernel 4.20)上测试英特尔处理器性能,结果显示,在大多数低中高端英特尔处理器上Linux 4.20内核性能都比Linux 4.19内核的低,比如 ...
- 英特尔处理器接连爆出漏洞,Intel:这次不打算修了
此前,英特尔处理器曾被曝出"幽灵"(Spectre)和"熔断"(Meltdown)两大漏洞,并且受影响的用户非常广泛.随后,Intel 又公布了一个新的漏洞,它 ...
- Yonah是英特尔处理器酷睿core的开发代号
Yonah是英特尔处理器酷睿core的开发代号 2009年12月08日 [b]Yonah[/b]是英特尔处理器[b]酷睿[/b][b]core[/b]的开发代号 采用Yonah核心CPU的有双核心的C ...
- 英特尔处理器被曝重大漏洞 微软苹果等将推送补丁 | 全球数据中心收购交易量在2017年创下历史新高
每一个企业级的人 都置顶了 中国软件网 中国软件网 为你带来最新鲜的行业干货 小编点评 英特尔漏洞一出 中国所有的公有云厂商都在发安全警告 中国芯是时候上位了 趋势洞察 杨元庆:我更愿将AI翻译成 ...
最新文章
- 您知道为何要采用固定的迭代周期吗
- 从入门到精通的Java进阶学习笔记整理,不愧是大佬
- html中视频播放完后可以跳到另一个html
- 【扇贝批量添加单词到词库】利用python调用扇贝API (oauth2)
- hive分析函数取最新_Hive的分析函数的学习
- PhotoShop如何给字体添加下划线
- Mybatis拦截器
- 雷军40岁低潮岁月做了什么,才有小米
- Pandas数据分析——从0.3到0.8学习指南
- Oracle Linux网卡参数默认设置导致ORA-603
- bellman - ford算法c++
- Openvpn 客户端路由配置
- 中文标点符号unicode码
- 微软必应词典客户端 案例分析
- c语言指针指向怎么指,C语言-基础教程-指向指针的指针
- Python数据可视化 Pyecharts 制作 Gauge 仪表盘
- 利息理论习题课1答案
- js获取浏览器窗口可视区域大小
- 天堂2登录服务器为维护中,关于天堂2系统维护问题~~
- 组件的自定义事件(绑定、解绑)
热门文章
- egret dragonbones部件替换产生位移的解决方案
- TCP协议相关属性设置之SO_DONTLINGER属性
- 【动画】当我们在读写Socket时,我们究竟在读写什么?
- 一条长为L的绳子,一面靠墙,另外三边组成矩形,问此矩形最大面积能是多少?...
- 记2014“蓝桥杯全国软件大赛quot;决赛北京之行
- PLSQL Developer简单使用教程
- 【SAS NOTES】在一个data中生成多个数据集
- get_free_page 和其友
- java 类复制构造方法_java面向对象入门(3)-java构造方法
- JQuery与springmvc实现单个文件上传操作