据BleepingComputer据网站报道,英特尔发布了三个影响广泛的高风险处理器漏洞,允许攻击者和恶意软件在设备系统上获得增强权限。
两个漏洞是CVE-2021-0157 和 CVE-2021-0158,CVSS v3分数都是 8.2,它们属于反病毒预警软件开发商的高严重程度SentinelOne 发现。前者涉及一些英特尔处理器 BIOS 固件中的控制流管理不足,后者依赖于同一组件的不正确输入验证。
受影响的处理器有以下系列:
- 英特尔至强E系列处理器
- 英特尔至强E3 v6系列处理器
- 英特尔至强W系列处理器
- 英特尔第三代强可扩展处理器
- 英特尔第 11代智能酷睿处理器
- 英特尔第10代智能酷睿处理器
- 英特尔第七代智能酷睿处理器
- 英特尔酷睿 X 系列处理器
- 英特尔赛扬N系列处理器
- 英特尔奔腾Silver系列处理器
英特尔还没有就这两个缺陷发布更多的技术细节,他们建议用户通过可用 BIOS 更新以修复漏洞。然而,由于主板供应商不会长期为其产品提供安全支持,如五年前推出的英特尔第七代核心处理器,这些问题无法从根本上修复上述受影响的产品。
同一天,英特尔单独宣布了第三个漏洞——CVE-2021-0146,网络安全公司Positive Technologies发现。这也是高严重性 (CVSS 7.2) 特权提升漏洞可能允许攻击者访问高度敏感的信息,影响了英特尔的奔腾和凌动系列处理器。
这个漏洞的特别之处在于它也影响了一些汽车产品,比如英特尔凌动 E3900的特斯拉 Model 3。
为了缓解这一缺陷,英特尔已经发布了固件更新,用户可以通过系统制造商提供的补丁进行修复。
参考来源:https://www.bleepingcomputer.com/news/security/high-severity-bios-flaws-affect-numerous-intel-processors/