英特尔11月安全更新修复77个漏洞

LYA 看雪学院 2021-03-09

英特尔在今天推出10倍提升的VPU。

以其超高性能加剧了边缘端AI芯片市场竞争。

在天命之年的英特尔是如何保持强大生态软实力的。

这么多年来的沉稳前进就是答案，正如每个月从不缺席的安全补丁。

修复堆溢出漏洞

英特尔发布11月安全补丁公告，本次更新一共修复了77个漏洞，其中有67个漏洞是由英特尔内部人员发现的。

受影响的产品包括英特尔CSME，英特尔SPS，英特尔TXE，英特尔AMT，英特尔PTT和英特尔程序加载DAL。

其中包含一个CVSS高达9.6分的高危漏洞。漏洞名为CVE-2019-0169，漏洞类型是堆溢出漏洞，该漏洞存在可管理性引擎，CSME的子系统中。

该子系统是Intel CPU上的一个独立芯片，可用于远程管理，利用这个漏洞会导致攻击者未经身份验证通过相邻访问来启用特权升级，从而造成信息泄露或拒绝服务。

什么是相邻访问呢？意思是攻击者必须和受害者使用相同的网络或IP，或从相同的安全VPN或网络区域内才能发起攻击，因此漏洞利用存在一定限制。

其他漏洞

除此之外，英特尔也修复了其他严重等级的漏洞，具体如下：

CVE-2019-11132：跨站点脚本（XSS）漏洞，存在于Intel AMT的子系统中，允许特权用户通过网络访问来启用特权升级。

CVE-2019-11147：访问控制问题，存在于用于Intel CSME的MEInfo软件、TXEInfo软件以及INTEL-SA-00086和INTEL-SA-00125检测工具的驱动程序中，会导致经过验证的本地用户提高特权。

CVE-2019-11097：目录权限漏洞，存在于Windows和Intel TXE的英特尔管理引擎驱动程序中，能够利用任意文件写入漏洞实现本地权限提升。

CVE-2019-0131：输入验证漏洞，存在于英特尔AMT子系统中，远程攻击者可利用此漏洞执行任意代码。

目前，英特尔已经发布相关的固件更新和软件补丁来解决这些问题，使用这些产品的用户请尽快更新。

* 本文由看雪编辑 LYA 编译自 Threat Post，转载请注明来源及作者。

* 原文链接：

https://threatpost.com/intel-critical-info-disclosure-bug-security-engine/150124/