圖片來源: 

英特爾

英特爾上周釋出10多項安全更新,以修補多項存在從資料中心到工作站、行動裝置等多種平臺的晶片韌體漏洞。

在所有受影響的產品中,IPU-BIOS存在11項漏洞,包括輸入驗證不當(CVE-2021-0154)、越界寫入(CVE-2021-0153)、存取控制(CVE-2021-33123)及未捕捉例外CVE-2021-0190(Uncaught exception)等4項風險等級8.2的漏洞,後果為造成攻擊者擴張權限或資訊洩露。另5個漏洞則涉及本機權限升級(LPE),風險值在7.4到7.9之間,分別為CVE-2021-33122、CVE-2021-0189、CVE-2021-33124、CVE-2021-33103、CVE-2021-0159。

影響產品涵括7-10代用戶端、Rocket Lake及Xeon Scalable伺服器端、Core Processor with Hybrid Technology行動處理器、桌機、工作站等產品。

一項更新則修補Boot Guard及TXT(Trusted Execution Technology)中的硬體debug模式、及處理器INIT設定中的高風險(風險值7.3)權限擴張(EOP)漏洞CVE-2022-0004,影響Celeron、Atom、Pentium、Xeon、以及8到12代Core處理器多項產品。

另一項安全更新則修補Optane SSD、SSD韌體中的3項高風險漏洞,包括DoS競爭條件(Race condition)漏洞CVE-2021-33078、本地權限升級漏洞CVE-2021-33077、及資訊洩露漏洞CVE-2021-33080。

其他高風險漏洞涵括NUC韌體3個風險值為7.5的本地權限提升(LPE)漏洞 ,起因分別為輸入驗證不當(CVE-2022-24382)、緩衝限制不當(CVE-2022-24297)、緩衝存取不當(CVE-2022-21237)。以及影響In-Band Manageability軟體的權限擴張漏洞。

除了高風險漏洞外,英特爾還修補一個推測式跨儲存繞過(speculative cross-store bypass)漏洞,意為軟體使用的資料意外洩露給同一臺電腦上的惡意程式,造成敏感資料洩露,影響所有英特爾處理器。這個漏洞名為CVE-2021-33149,屬於Spectre和Meltdown家族的同一類。但英特爾將該漏洞列為低風險。

針對所有漏洞,英特爾說未發現有被用來攻擊用戶的情形。


熱門新聞

Advertisement