英特爾為多種設備晶片韌體漏洞釋出修補更新 解決高風險漏洞

英特爾上周揭露資料中心、工作站、行動裝置、儲存產品及其他設備用晶片韌體高風險漏洞的安全公告。這些漏洞可能導致權限升級、資訊外洩或造成設備及營運中斷。英特爾已經釋出修補程式解決這些漏洞。

英特爾上周揭露資料中心、工作站、行動裝置、儲存產品及其他設備用晶片韌體高風險漏洞的安全公告。這些漏洞可能導致權限升級、資訊外洩或造成設備及營運中斷。英特爾已經釋出修補程式解決這些漏洞。

最嚴重的漏洞是CVE-2021-0154,為輸入驗證不當導致存取權限升級。另外CVE-2021-0153、 CVE-2021-33123和CVE-2021-0190則為界外寫入、存取控制不當及導致本機用戶的權限升級。4漏洞風險值皆為8.2。

另外5個BIOS韌體的本地權限升級,風險值在7.4到7.9之間,分別為CVE-2021-33122、CVE-2021-0189、CVE-2021-33124、CVE-2021-33103、CVE-2021-0159。

其他是競爭條件漏洞CVE-2021-33078、本地用戶的權限升級漏洞CVE-2021-33077、及允許未經授權用戶洩露敏感資訊或權限升級CVE-2021-33080。以及3個NUC電腦韌體的本地權限升級漏洞。

英特爾說上周公佈的漏洞沒有被用來攻擊用戶的情形。雖然這些漏洞可能不會被從外部網路開採,或是至少需要本機權限,但用戶還是應檢查英特爾設備是否提供韌體更新。

除了高風險漏洞外,英特爾還修補一個推測式跨儲存繞過(speculative cross-store bypass)漏洞,是一種洩露資料的硬體設計缺陷,指軟體使用的資料意外洩露給同一台電腦上的惡意程式。這個漏洞名為CVE-2021-33149,屬於Spectre和Meltdown家族的同一種。解決方案是修改應用程式及其他軟體,使資料不再外洩。英特爾建議在多執行緒程式碼特別脆弱的部份加入LFENCE(Load Fence)指令。但英特爾表示該漏洞為低風險。

來源: The Register

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416