英特尔和 AMD 已宣布修复此补丁周二的许多漏洞,包括已被指定为“高严重性”等级的漏洞。
英特尔
英特尔发布了 24 条新公告,涵盖了 50 多个影响这家芯片巨头产品的漏洞。
七个公告描述了高严重性的特权升级缺陷。这包括一些英特尔处理器的 BIOS 固件中的一个、XMM 7560 调制解调器软件中的一个、NUC BIOS 固件中的一打、芯片组固件中的三个、数据中心管理器 (DCM) 软件中的一个、服务器主板和服务器系统中的两个,以及一个影响 Active Management Technology (AMT) SDK、Endpoint Management Assistant (EMA) 和 Manageability Commander。
可以利用芯片组固件中的几个高严重性漏洞进行拒绝服务 (DoS) 攻击。
其中一个高度严重的错误被跟踪为 CVE-2021-33164,由英特尔在内部发现,它会影响一些英特尔 NUC 的 BIOS 固件,特权用户可以利用它来提升权限。
英特尔员工今年夏天在黑帽黑客大会上披露了该漏洞的详细信息,CERT/CC 周二发布了针对该漏洞的公告。一种被称为RingHopper的攻击可以让攻击者绕过安全机制、窃取敏感信息、安装引导包或破坏目标系统。CERT/CC 表示,来自戴尔、Insyde 和可能其他公司的产品也受到了影响。
英特尔已在 PROSet/无线 WiFi、VTune Profiler、Quartus Prime、OpenVINO 工具包、PresentMon、高级链路分析器、服务器调试和配置 (SDP)、NUC 套件无线适配器驱动程序安装程序、支持 Android 中修复了中低严重性漏洞应用程序、WLAN 身份验证和隐私基础设施 (WAPI) 安全性、EMA 和 SGX SDK。
Glorp 和 System Studio 也受到中等严重性缺陷的影响,但它们已经停产,不会收到补丁。
AMD
AMD发布了四项新公告,共描述了 10 个漏洞。在 μProf 软件(DoS 缺陷)、Link 应用程序(信息泄露)和处理器中发现了中等严重性问题。
处理器问题,跟踪为 CVE-2022-23824,与Spectre 推测执行攻击有关。
“AMD 意识到一个影响 AMD CPU 的潜在漏洞,其中操作系统依赖 IBPB 刷新返回地址预测器。这可能允许基于 RET 预测的 CVE-2017-5715(以前称为 Spectre Variant 2)攻击在操作系统依赖 IBPB 而不使用额外的软件缓解措施的情况下,以刷新返回地址预测器,“AMD 说。
该公司指出,缓解措施是针对受影响的管理程序和操作系统供应商的。Microsoft已发布自己的公告,通知客户最新的 Windows 更新可实现所需的缓解并提供保护。
AMD 还发布了一份公告,描述了影响某些图形产品的两个高严重性和四个中等严重性漏洞。这些安全漏洞可被用于权限提升、代码执行和信息泄露。
联系客服
