Threat
Post報道,英特爾已經發布了29個安全警告,解決英特爾芯片BIOS的固件、藍牙產品、主動管理技術工具、NUC迷你PC,以及有諷刺意義的英特爾自家安全庫中的關鍵漏洞。評級較高的警告集中在CPU特權升級固件漏洞上:這對於修補和利用而言都很困難,但影響廣泛,因此對聰明的攻擊者很有吸引力。
英特爾的高級通信主管傑里·布萊恩特(Jerry Bryant)在周三的一篇博文中說,該公司基本上在內部挖掘出了95%的安全問題,其中一些部分來自其漏洞賞金計劃和內部研究。
儘管漏洞賞金計劃只佔本月安全漏洞的一小部分,但到目前為止,這比2021年的正常情況要多。Chipzilla的內部安全團隊發現了所處理的132個潛在漏洞中的75%,其中70%在公開披露之前就已修復。
本月的補丁集包含對各種問題的修復,其中幾個被評為高嚴重性–包括產品的固件CPU中的4個本地權限升級漏洞;英特爾定向I/O虛擬化技術(VT-d)中的另一個本地權限升級漏洞;以及英特爾安全庫中的一個可網絡利用的權限升級漏洞。
英特爾的公告中還包括一個針對BlueZ的中等嚴重性漏洞的補丁,BlueZ是一個藍牙軟件堆棧,允許對所謂的安全藍牙和藍牙低能量(BLE)連接進行中間人式攻擊。另一個影響英特爾CPU的中等嚴重性漏洞允許通過可觀察到的浮點響應差異進行本地可利用的信息泄露。
對於系統管理員而言應修補系統的主板管理控制器(BMC)中的一組高威脅漏洞,它允許在2019年底發布的英特爾服務器主板M10JNP2SB系統中進行權限升級和拒絕服務攻擊。
更多細節請參與英特爾最新一期安全公告:
https://www.intel.com/content/www/us/en/security-center/default.html