英特尔发布了针对多个NUC Kit型号的固件更新,以修补攻击者可能利用的高严重性错误,以获得权限提升,导致拒绝服务(DoS)条件或信息泄露。运行相同BIOS固件的英特尔计算卡和计算棒也会受到影响。
由于NUC Kit设备的系统固件中的会话验证不充分,该错误的严重性得分为7.5分(满分10分)。如果攻击者已具有具有特权用户权限的本地访问权限,则可以利用该漏洞。受错误影响的设备列表(CVE-2019-11140)包括:
英特尔在处理器识别实用程序中修补了高严重性问题
另一个缺陷(CVE-2019-11163)影响了英特尔的处理器识别实用程序,这是英特尔向用户提供的免费工具,因此他们可以轻松识别他们拥有的处理器类型及其规格。
由于软件的硬件抽象驱动程序中的访问控制不足,该错误的严重性得分甚至更高,为8.2分(满分10分)。该缺陷存在于早于6.1.0731的软件版本中。根据英特尔的说法,该漏洞“可能允许经过身份验证的用户通过本地访问权限升级特权,拒绝服务或信息泄露。”
英特尔的计算机改进计划也受到影响
英特尔的计算机改进计划是一个计算机所有者可以加入的计划,旨在帮助英特尔改进其处理器并检测问题。该程序附带了一个错误(CVE-2019-11162),它也可能允许升级权限,拒绝服务或信息泄露,就像上面的其他错误一样。
英特尔表示:
“在版本2.4.0.04733之前的英特尔计算改进计划的SEMA驱动程序中,硬件抽象中的访问控制不足可能允许经过身份验证的用户通过本地访问来升级权限,拒绝服务或信息泄露。”
研究人员继续发现英特尔产品中的安全问题
所有这些安全漏洞都被发现,而英特尔不得不处理一个名为“SWAPGS”的新幽灵级错误,它可以绕过所有以前的幽灵级别缓解。
随着越来越多的安全研究人员专注于英特尔的处理器和固件,我们应该看到英特尔产品的安全问题越来越多,至少在短期内如此。直到几年前,没有多少人试图这样做。但是,英特尔支持的产品可以追溯到十年或更长时间,因此短期内应该有很多漏洞可以找到。