第一生活网

英特尔披露了一个高严重性的特权提升漏洞

司澜寒
导读英特尔披露了一个高严重性的特权提升漏洞,该漏洞影响了过去几年制造的各种处理器系列。PositiveTechnologies发现了该漏洞,编号为CVE-2021

英特尔披露了一个高严重性的特权提升漏洞,该漏洞影响了过去几年制造的各种处理器系列。PositiveTechnologies发现了该漏洞,编号为CVE-2021-0146。它源于没有充分保护的特权过高的调试系统,并且可以被攻击者利用来访问加密文件。

据PositiveTechnologies称,该漏洞影响ApolloLake、GeminiLake和GeminiLakeRefresh平台的Pentium、Celeron和Atom处理器,这些平台广泛用于移动设备、嵌入式系统和物联网(IoT)设备,例如智能家电、医疗设备、智能汽车。

我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。

发现该漏洞的网络安全研究员马克·埃尔莫洛夫(MarkErmolov)引用了一个现实世界威胁的例子,称攻击者可以利用该漏洞从丢失或被盗的笔记本电脑中提取加密密钥并访问机密的加密信息。

“该漏洞还可用于整个供应链的针对性攻击。例如,从理论上讲,基于英特尔处理器的设备供应商的员工可以提取英特尔CSME[融合安全和管理引擎]固件密钥并部署安全软件无法检测到的软件,”Ermolov补充道。

此外,该漏洞的严重性还可以从以下事实来评估:它还可以促进英特尔平台信任技术(PTT)和英特尔增强隐私ID(EPID)技术中使用的根加密密钥的提取。

Ermolov表示,亚马逊的几种电子书模型使用基于英特尔EPID的数字版权管理(DRM)保护,该漏洞可使攻击者侵入设备并下载受DRM保护的内容。

好消息是英特尔已经发布了固件更新来缓解这个缺陷,研究人员建议用户立即安装受影响设备制造商发布的UEFIBIOS更新。