SOS :: Security Operation Space
25 августа, воскресенье, 00:00
|
Hot News:

Intel закрыла критическую уязвимость в подсистеме CSME

23 мая 2019 г., четверг, 16:35

Вендор выпустил более 30 патчей для своих продуктов, включая 8 апдейтов для серьезных и критических багов.

Компания Intel выпустила патчи для 34 уязвимостей в своих продуктах, включая критический баг в подсистеме Converged Security and Manageability Engine (CSME). Как сообщает производитель, недостатки могли привести к эскалации привилегий, отказу в обслуживании и утечке конфиденциальных данных.

Наиболее серьезная ошибка идентифицируется как CVE-2019-0153 и содержится в коде движка системы Intel Active Management System, предназначенной для удаленного управления компьютером. Как выяснили специалисты, используя данную уязвимость, неавторизованный пользователь может получить права администратора на машине при наличии сетевого доступа. Баг оценен в 9 баллов по шкале CVSS и присутствует во всех версиях CSME с 12 по 12.0.34.

Еще 7 уязвимостей признаны специалистами опасными. Среди них выделяется CVE-2019-11085 в драйвере режима ядра графических чипов Intel i915 для Linux. Проблема вызвана недостаточной проверкой входящих пакетов и позволяет аутентифицированному локальному пользователю добиться расширенных прав в системе. Баг получил 8,8 балла по CVSS и затрагивает все релизы продукта до версии 5.

Другая важная заплатка устраняет недостаток в микропрограммах ультракомпактного компьютера NUC (Next Unit of Computing). Как следует из описания, баг CVE-2019-11094 допускает эскалацию привилегий аутентифицированного пользователя системы, а также может вызвать состояние DoS или стать причиной утечки данных. Уровень опасности ошибки оценен специалистами в 7,5 балла. Уязвимость затрагивает семь моделей устройства и требует обновления BIOS до версии 0062 или 0054.

Производитель также выпустил обновление прошивки для линейки процессоров Xeon Scalable и Xeon D. Недостаток CVE-2019-0126 получил оценку CVSS 7,2, он позволял нападающему с локальным доступом к устройству расширить свой набор прав и добиться отказа в обслуживании. К тем же последствиям могли привести два других бага в интерфейсе UEFI, обеспечивающем взаимодействие микропрограмм и операционной системы. Эти уязвимости затрагивают многие продукты Intel, но не столь опасны, как CVE-2019-0126.

Другие серьезные уязвимости, закрытые вендором, связаны с:

  • недостаточным контролем доступа к службам Server Platform Services (SPS) в CSME (CVE-2019-0090),
  • некорректной очисткой данных в Intel SPS (CVE-2019-0089),
  • слабой проверкой разрешений (CVE-2019-0086) и переполнением буфера (CVE-2019-0170) в загрузчике Java-кода Dynamic Application Loader.

Этот комплект обновлений не содержит патчи для ошибок, связанных с новым классом атак по стороннему каналу. Возможности для манипуляции микроархитектурной выборкой данных (Microarchitectural Data Sampling, MDS) Intel закрыла 14 мая этого года. Баги получили средний и низкий уровень опасности и были выявлены инженерами компании в ходе внутреннего тестирования продуктов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:35
16:12
15:03
14:15
13:15
13:15
13:06
12:15
10:15
10:15
08:15
07:15
06:15
06:15
16:32
16:15
15:15
14:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.327
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.