Threat Post报道,英特尔已经发布了29个安全警告,解决英特尔芯片BIOS的固件、蓝牙产品、主动管理技术工具、NUC迷你PC,以及有讽刺意义的英特尔自家安全库中的关键漏洞。评级较高的警告集中在CPU特权升级固件漏洞上:这对于修补和利用而言都很困难,但影响广泛,因此对聪明的攻击者很有吸引力。
英特尔的高级通信主管杰里·布莱恩特(Jerry Bryant)在周三的一篇博文中说,该公司基本上在内部挖掘出了95%的安全问题,其中一些部分来自其漏洞赏金计划和内部研究。
尽管漏洞赏金计划只占本月安全漏洞的一小部分,但到目前为止,这比2021年的正常情况要多。Chipzilla的内部安全团队发现了所处理的132个潜在漏洞中的75%,其中70%在公开披露之前就已修复。
本月的补丁集包含对各种问题的修复,其中几个被评为高严重性--包括产品的固件CPU中的4个本地权限升级漏洞;英特尔定向I/O虚拟化技术(VT-d)中的另一个本地权限升级漏洞;以及英特尔安全库中的一个可网络利用的权限升级漏洞。
英特尔的公告中还包括一个针对BlueZ的中等严重性漏洞的补丁,BlueZ是一个蓝牙软件堆栈,允许对所谓的安全蓝牙和蓝牙低能量(BLE)连接进行中间人式攻击。另一个影响英特尔CPU的中等严重性漏洞允许通过可观察到的浮点响应差异进行本地可利用的信息泄露。
对于系统管理员而言应修补系统的主板管理控制器(BMC)中的一组高威胁漏洞,它允许在2019年底发布的英特尔服务器主板M10JNP2SB系统中进行权限升级和拒绝服务攻击。
更多细节请参与英特尔最新一期安全公告:
https://www.intel.com/content/www/us/en/security-center/default.html
