Бесплатно Экспресс-аудит сайта:

11.11.2022

Intel и AMD защитили своих пользователей от опасных ошибок во вторник исправлений

Intel

Intel опубликовала 24 новых бюллетеня, охватывающих более 50 уязвимостей в продуктах компании. 7 бюллетеней описывают уязвимости повышения привилегий высокого уровня опасности. Среди них:

  • 1 недостаток – в прошивке BIOS некоторых процессоров Intel;
  • 1 ошибка – в ПО модема XMM 7560;
  • 12 – в прошивке BIOS NUC;
  • 3 – в прошивке набора микросхем;
  • 1 – в ПО Data Center Manager (DCM);
  • 2 – в серверных платах и ​​серверных системах;
  • 1 - в SDK Active Management Technology (AMT), Endpoint Management Assistant (EMA) и Manageability Commander.

Несколько опасных уязвимостей в прошивке чипсета могут быть использованы для DoS -атак. Одна из уязвимостей (CVE-2021-33164) влияет на прошивку BIOS для некоторых мини-ПК Intel NUC и может быть использована для повышения привилегий. Атака под названием RingHopper может позволить злоумышленнику:

  • обойти механизмы безопасности;
  • украсть конфиденциальную информацию;
  • установить буткиты;
  • заблокировать целевую систему.

AMD

AMD опубликовала 4 бюллетеня, описывающих 10 уязвимостей. Проблемы средней степени опасности были обнаружены в:

  • программном обеспечении µProf (DoS-уязвимости);
  • приложении Link (уязвимость раскрытия информации);
  • процессорах (CVE-2022-23824), которая связана с атаками спекулятивного выполнения Spectre .

Еще одна уязвимость может привести к эксплойту CVE-2017-5715 ( Spectre v2 ), затрагивающему процессоры AMD. Это возможно в случае, когда ОС использует IBPB для сброса предсказателя обратного адреса.

Компания отметила, что меры по смягчению последствий специфичны для затронутых поставщиков гипервизоров и ОС. Microsoft, в свою очередь, проинформировала клиентов о том, что последние обновления Windows обеспечивают необходимые меры по смягчению последствий и обеспечивают защиту.

AMD также опубликовала бюллетень , описывающий 2 опасных и 4 уязвимости средней степени опасности, затрагивающие некоторые графические продукты. Эти ошибки можно использовать для повышения привилегий, выполнения кода и раскрытия информации.