首頁 > 安全研究 > 安全通報 > 安全通告

Intel CSME引擎安全漏洞風險通告

發布時間 2020-02-14

漏洞編號和級別


CVE編號:CVE-2019-14598,危險級別:高危,CVSS分值:廠商自評:8.2,官方未評定


影響版本


Intel? CSME versions before 12.0.49 (IOT only: 12.0.56), 13.0.21, 14.0.11.


漏洞概述


Intel Converged Security and Management Engine(CSME,即融合安全和可管理性引擎)是推動 Intel 活動管理技術的芯片集子系統。CSME支持英特爾的主動管理系統硬件和固件技術,該技術用于消費或公司PC,物聯網(IoT)設備和工作站中的遠程帶外管理。


CSME的子系統存在不正確的身份驗證錯誤(CVE-2019-14598),該漏洞如遭利用,可導致本地威脅行動者發動提權、拒絕服務和信息泄露攻擊。


Intel 還發布了針對Windows 版本的 RAID Web Console 2 (RWC2) 和 RAID Web Console 3 (RWC3) 的安全更新。


第一個漏洞 CVE-2020-0562 影響所有 RWC2 版本,CVSS 基本分為6.7,屬于“中?!甭┒?。本地經認證的用戶可利用該缺陷提權,不過 Intel 公司將不會修復該問題,而是表示該產品將停產,建議用戶更新至 RWC3版本。


第二個漏洞 CVE-2020-0564 會產生相同的潛在后果,它影響 7.010.009.000 版本之前的 RWC3 產品。


Intel Manycore Platform Software Stack (MPSS) 版本3.8.6 之前的版本已收到修復方案以解決 CVE-2020-0563。該漏洞為中危漏洞,CVSS 基本分是6.7。未經認證的用戶能利用該漏洞通過因權限處理不正確而造成的本地權限而引發的提權。


Intel 公司還提到了另外一個中危漏洞 CVE-2020-0560,它影響 Intel Renesas Electronics USB 3.0 驅動,可導致在所有版本中的提權的后果。Intel 公司表示不會修復該漏洞,而是推薦用戶卸載或停止使用該產品。


Intel 公司還修復了Intel SGX 中的一個低危漏洞 CVE-2020-0561,它是一個初始化不當問題,其 CVSS 基本分為2.5分,可導致認證用戶通過本地訪問權限提權。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00307.html。


參考鏈接


https://www.zdnet.com/article/intel-warns-of-critical-security-flaw-in-csme-engine/


上一篇 下一篇