- A+
联想已针对源自英特尔技术修复的产品中的几个严重漏洞发布补丁。
联想已修补了几个与英特尔漏洞相关的高严重性漏洞,这些漏洞可能导致权限升级,信息泄露甚至拒绝服务。
整体而言,该设备制造商修补了周四与16个高严重性CVE相关的缺陷 。 其中包括五个与英特尔固件漏洞相关的漏洞,以及源自英特尔融合安全和管理引擎(CSME),英特尔服务器平台服务,英特尔可信执行引擎和英特尔主动管理技术漏洞的11个漏洞。
英特尔于周二发布自己的安全更新两天后发布补丁,警告其Windows 10流行的图形驱动程序存在19个漏洞,以及其他英特尔产品的更多修复程序 ,包括其Matrix Storage Manager,主动管理技术和加速存储管理器。
与英特尔固件(CVE-2018-12201,CVE-2018-12202,CVE-2018-12203,CVE-2018-12204,CVE-2018-12205)相关联的CVE会影响Lenovo桌面,IdeaPad,存储,ThinkPad,ThinkServer,ThinkStations和ThinkSystems。
其中最糟糕的是联想产品中某些英特尔平台样本/硅片参考固件中的权限提升漏洞 。
其中包括CVE-2018-12204 (CVSS评分为7.5),可以“允许特权用户通过本地访问执行任意代码”, CVE-2018-12205 (CVSS评分为7.6)可能“允许未经身份验证”用户可以通过物理访问执行任意代码。“
“根据联想的建议,英特尔建议升级到适用于您的型号的固件版本(或更新版本)。 有关各种Lenovo产品的更新固件版本的完整列表,请访问其网站 。
其他11个高严重性缺陷(CVE-2018-12188,CVE-2018-12189,CVE-2018-12190,CVE-2018-12191,CVE-2018-12192,CVE-2018-12199,CVE-2018-12198, CVE-2018-12200,CVE-2018-12187,CVE-2018-12196,CVE-2018-12185)存在于联想设备内的多个英特尔产品中。
这些英特尔技术包括:英特尔融合安全和管理引擎(CSME),其自治子系统已集成到其处理器芯片组中; 英特尔服务器平台服务 英特尔可信执行引擎,确保在可信环境中启动可靠的操作系统; 和英特尔主动管理技术,使IT经理能够发现,修复和帮助保护网络计算资产。
英特尔咨询公司称,“英特尔CSME,服务器平台服务,可信执行引擎和英特尔主动管理技术中的多个潜在安全漏洞可能允许用户升级特权,泄露信息或导致拒绝服务”。 “英特尔正在发布英特尔CSME,服务器平台服务,可信执行引擎和英特尔主动管理技术更新,以缓解这些潜在漏洞。”
受影响的是联想台式机,IdeaPad,ThinkPad,ThinkServers,ThinkStations和ThinkSystems。
其中最糟糕的是CVE-2018-12190 ,在英特尔CSME中,CVSS得分为8.2。 据英特尔称,这一缺陷源于CSME中输入验证不足,“可能允许特权用户通过本地访问潜在地执行任意代码”。
英特尔主动管理技术中的另一个高严重性缺陷( CVE-2018-12187 )可能允许未经身份验证的用户通过网络访问导致拒绝服务; 而英特尔能力许可服务中的严重漏洞( CVE-2018-12200 )可能允许非特权用户通过本地访问升级特权。
“英特尔建议在” 产品影响“部分升级到适用于您的型号的英特尔CSME,服务器平台服务,可信执行引擎和英特尔主动管理技术版本(或更新版本),”根据联想的建议。
除了英特尔在其产品中的技术外,联想还修补了一个中等严重程度的漏洞(CVE-2019-6149),该漏洞源于动态降低电源实用程序中的一个不带引号的搜索路径漏洞,该漏洞旨在降低2G / 3G上传输的最大输出功率4G联想设备。
联想表示,该漏洞“可能允许具有本地访问权限的恶意用户执行具有管理权限的代码”。
不要错过我们的免费实时 Threatpost网络研讨会 ,“探索HackerOne和GitHub的15大常见漏洞”,于3月20日星期三,美国东部时间下午2点。
漏洞专家Michiel Prins是网络研讨会赞助商HackerOne的联合创始人,GitHub的应用程序安全工程经理Greg Ose将加入Threatpost编辑Tom Spring,讨论当今软件中最常见的漏洞类型,以及它们对于什么样的影响。组织如果被利用。
