- A+
总体而言,该芯片巨头修补了其产品阵容中的五个漏洞。
英特尔周二修补了三个高严重性漏洞,这些漏洞可能允许在一系列产品中升级特权。 总体而言,芯片巨头修复了五个错误 - 三个严重程度高,两个中等严重程度。
这些漏洞中最令人担忧的是英特尔PROset /无线Wi-Fi软件中的特权升级故障,这是其无线连接管理工具。 根据英特尔的更新 ,该漏洞CVE-2018-12177的 CVSS评分为“7.8”。
“英特尔正在发布软件更新,以缓解这一潜在漏洞,”它说,并敦促用户更新到该软件版本20.90.0.7或更高版本。
Insomnia Security的托马斯·希伯特(Thomas Hibbert)报道的这个漏洞源于在20.90.0.7之前的版本中不正确的目录权限,这些权限困扰着软件的ZeroConfig服务。 该问题可能允许授权用户通过本地访问来启用特权升级。
该公司的Windows系统支持实用程序中存在另一个高严重性错误 ,它为支持英特尔的Windows设备用户提供支持。
此错误( CVE-2019-0088 )是由于支持实用程序中的路径检查不足,允许已经过身份验证的用户可能通过本地访问获得权限升级。 该漏洞的CVSS评分为7.5。
2.5.0.15之前的Windows系统支持实用程序版本受到影响; 英特尔建议用户更新到2.5.0.15或更高版本。 独立安全研究员Alec Blance因发现这一缺陷而受到赞誉。
该芯片制造商还在其软件保护扩展(SGX)平台和软件中修补了高严重性和中等严重性的缺陷,这有助于应用程序开发人员保护选择的代码和数据免于泄露或修改。
“英特尔SGX SDK和英特尔SGX平台软件中的多个潜在安全漏洞可能会导致权限或信息泄露升级,”英特尔表示。
SGX( CVE-2018-18098 )的高严重性缺陷的CVSS评分为7.5,可能允许具有本地访问权限的攻击者获得升级的权限。 该漏洞源于2.2.100之前的英特尔SGX SDK和Windows平台软件安装例程中的不正确文件验证。 它是由研究员Saif Allah ben Massaoud发现的。
平台中的另一个漏洞( CVE-2018-12155 )的严重程度仅为中等,但可能允许非特权用户通过本地访问进行信息泄露。 这是由于SGX平台的集成性能基元的加密库中的数据泄漏,该功能为开发人员提供了用于图像和数据处理的构建块。 2019年更新1版本之前的英特尔集成性能基元受到影响。
最后,针对Windows的英特尔SSD数据中心工具中的特权漏洞的中等升级已被修补。
英特尔的更新表示,“v3.0.17之前的英特尔固态硬盘数据中心工具安装程序中的不正确的目录权限可能允许经过身份验证的用户通过本地访问启用特权升级”。 该公司建议用户更新到v3.0.17或更高版本。