Intel爆出重量级AMT漏洞:未经身份验证窃取个人信息
原标题:Intel爆出重量级AMT漏洞:未经身份验证窃取个人信息
来源:TechWeb编译
什么是Intel AMT
Intel AMT其全称为INTEL Active Management Technology(英特尔主动管理技术),它实质上是一种集成在芯片组中的嵌入式系统,不依赖特定的操作系统,这也是IAMT与远程控制软件最大的不同。这项技术能让IT管理人员远程管理和修复PC、工作站和服务器。
Intel漏洞
6月10日 Intel发布了安全更新,该更新主要修复了在5月爆出的漏洞。
AMT的IPv6子系统(和英特尔的标准可管理性解决方案,具有与AMT相似的功能)存在一个越界读取漏洞(CVE-2020-0594)和一个释放后重用(use-after-free)漏洞(CVE-2020-0595)。这些漏洞可能使未经身份验证的用户能够通过网络访问获得提升的特权。11.8.77、11.12.77、11.22.77和12.0.64之前的AMT版本会受到影响。具体受影响的产品和修复措施可参见官网:https://www.intel.cn/content/www/cn/zh/support/articles/000056594/technologies.html?wapkw=CVE-2020-0595
Intel Innovation Engine(英特尔创新引擎)中存在的一个高严重性特权升级漏洞(CVE-2020-8675)。Intel Innovation Engine是外围控制器中枢(PCH)的嵌入式核心,它是系统供应商可以用来自定义其固件的专用子系统。该漏洞源自Innovation Engine 1.0.859之前的版本固件构建和签名工具中的控制流管理不足,它可能允许未经身份验证的用户潜在地通过物理访问启用特权升级。
英特尔的固态硬盘(SSD)产品中爆出了一个信息泄露漏洞(CVE-2020-0527)。该漏洞源自某些英特尔数据中心SSD的固件控制流管理不足。受影响产品列表和修复措施可参见官网:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00266.html
英特尔还爆出了某些英特尔处理器的BIOS固件中的漏洞,这些漏洞可能导致特权升级或拒绝服务(DoS)。其中包括高严重性漏洞(CVE-2020-0528),该漏洞源自第7代,第8代,第9代和第10代Intel Core处理器BIOS固件中的缓冲区限制不当。为了利用此漏洞,攻击者需要进行身份验证(用于特权升级)并具有本地访问权限(用于DoS)。英特尔建议用户更新至系统制造商提供的最新固件版本,以解决此问题。
英特尔(CVE-2020-0543)6月9日披露的一个中等严重性漏洞被安全研究人员称为“ CrossTalk”,该漏洞利用侧通道攻击从受影响的系统中窃取数据。该漏洞可能使具有本地访问权限的攻击者能够通过运行代码从运行在不同CPU内核上的应用程序(与运行攻击者代码的CPU代码不同) 获取数据。CrossTalk会影响50多个Intel移动,台式机,服务器和工作站处理器。可在官方地址找到影响产品列表:https://software.intel.com/security-software-guidance/processors-affected-transient-execution-attack-mitigation-product-cpu-model
同时,英特尔也给出了针对 CrossTalk的缓解措施,参见官网地址:https://software.intel.com/security-software-guidance/insights/deep-dive-special-register-buffer-data-sampling
责任编辑:鲍一凡
国内成品油价首创“九连涨” 加满一箱92号油多花约9元
3月17日24时,国内成品油零售限价上调窗口开启。国家发改委消息,根据近期国际市场油价变化情况,按照现行成品油价格形成机制,国内汽、柴油价格(标准品,下同)每吨分别提高235元和230元。折合92号汽油每升上调0.18元,95号汽油每升上调0.19元,0号柴油每升上调0.2元。0001中国棉花协会:欢迎各方赴新疆考察
【相关报道】中国棉花协会:坚决支持新疆棉花“欢迎全球棉纺织产业链各方通过赴疆考察、第三方尽责调查等各种途径更多地了解新疆棉花产业的真实情况,共同推动产业链透明度提升,增进理解与互信。”今日,针对H&M等跨国企业发布抵制新疆棉花的声明,中国棉花协会回应称,坚决反对以美国为首的西方各国对中国新疆纺织服装供应链及其相关产品实施任何限制,强烈敦促其停止错误做法。警方介入调查假冒健康码软件 软件迭代更新12次
{video=1}1月11日,一款仿冒健康码手机软件引关注。软件单平台下载已超千次,12日软件已下架。这一软件自2020年5月6日首次发布至12月26日,共12次迭代更新。杭州市公安局工作人员称,网上显示的公司注册地址为虚假地址,警方已介入调查。责任编辑:蒋晓桐0001中国工业机器人狭路狂奔
中国工业机器人狭路狂奔作者:彭海斌“(中国企业)本土化的优势比外资大厂商大很多。在AMR领域,目前国产份额接近90%。”卢彰缘告诉记者。中国本土的工业机器人企业起步较晚,但它们正在追赶上跨国企业的步伐,在一些细分赛道已经能与跨国公司并驾齐驱。0000服贸会上遇到知识产权问题怎么办?有线上线下“直通车”帮忙
新京报快讯(记者倪伟)2020年中国国际服务贸易交易会(简称服贸会)今天(9月4日)开幕。为加强服贸会知识产权保护、维护展会秩序,知识产权保护办公室将开设在服贸会现场,并建立“线上+线下”工作模式。记者从北京市知识产权局获悉,服贸会知识产权保护工作在国家知识产权局的支持下,由北京市知识产权局、市市场监督管理局、市文化市场行政执法总队、朝阳区市场监督管理局等部门共同开展。0000