英特尔确认了两个影响多代英特尔处理器的本地安全问题
英特尔本周发布了针对该公司多代处理器的两项安全建议。这些漏洞的严重性等级为高,是紧随其后的第二高。
好消息是这两个问题需要本地访问才能被利用。坏消息是,需要更新 BIOS 来解决这些问题。
如果成功利用,漏洞CVE-2021-0157和CVE-2021-0158可能允许提权。漏洞基础得分为 8.2,很高。
英特尔以下列方式描述了该问题:
某些英特尔(R) 处理器的 BIOS 固件中控制流管理不足可能会允许特权用户通过本地访问启用特权升级。
根据英特尔的说法,以下处理器系列受此问题的影响:
英特尔® 至强处理器 E 家族
英特尔® 至强处理器 E3 v6 家族
英特尔® 至强处理器 W 家族
第三代英特尔至强可扩展处理器
第 11 代英特尔酷睿™ 处理器
第十代英特尔酷睿™ 处理器
第七代英特尔酷睿™ 处理器
英特尔酷睿™ X 系列处理器
Intel Celeron 处理器 N 系列
Intel Pentium Silver 处理器系列
Intel 处理器第 7、10 和 11 代受到影响,但第 8 代和第 9 代没有受到影响,这似乎很奇怪。
第二个漏洞CVE-2021-0146也可能允许权限提升。它也需要物理访问才能进行攻击。该漏洞的基础评分为 7.1,也很高。
英特尔提供以下说明:
对于某些英特尔(R) 处理器,硬件允许在运行时激活测试或调试逻辑,这可能允许未经身份验证的用户通过物理访问来潜在地启用特权升级。
根据公司的说法,以下英特尔产品受到影响:
桌面、移动
英特尔奔腾处理器 J 系列、N 系列
英特尔赛扬处理器 J 系列、N 系列
英特尔凌动处理器 A 系列
英特尔凌动处理器 E3900 系列
嵌入式
英特尔奔腾处理器 N 系列
英特尔赛扬处理器 N 系列
英特尔凌动处理器 E3900 系列
桌面、移动
英特尔奔腾处理器银牌系列/J&N 系列?
桌面、移动
英特尔奔腾处理器银牌系列/J&N 系列?- 刷新
嵌入式
英特尔® 凌动® 处理器 C3000
解析度
英特尔已发布更新,但系统制造商需要向其客户提供这些更新。如果过去是过去的事情,旧产品不太可能收到解决这些问题的 BIOS 更新。
不过,您可能希望定期查看制造商的网站,以了解是否已发布更新。
英特尔没有透露有关漏洞的其他详细信息。目前还不清楚设置 BIOS 密码是否足以阻止攻击的进行。