欢迎光临
我们一直在努力

Intel BIOS权限提升漏洞 (CVE-2021-0157) 风险通告

0x00 漏洞概述

CVE ID

CVE-2021-0157

时 间

2021-11-09

类 型

LPE

等 级

高危

远程利用

影响范围

攻击复杂度

可用性

用户交互

所需权限

PoC/EXP

在野利用

0x01 漏洞详情

2021年11月9日,Intel发布安全公告,公开了Intel 处理器的 BIOS固件中的2个本地权限提升漏洞(CVE-2021-0157和CVE-2021-0158),它们的CVSS评分均为8.2。攻击者或恶意软件可以利用这些漏洞在设备上获得更高的特权,但前提是攻击者可以物理访问易受攻击的设备。

Intel BIOS权限提升漏洞(CVE-2021-0157)

由于某些Intel处理器的BIOS固件中的控制流管理不足,拥有特殊权限的攻击者可以通过本地访问实现特权升级。

Intel BIOS权限提升漏洞(CVE-2021-0158)

由于某些Intel处理器的BIOS固件中的输入验证不当,拥有特殊权限的攻击者可以通过本地访问实现特权升级。

Intel在同一天还修复了另一个权限提升漏洞(CVE-2021-0146,CVSS评分7.1),未经认证的攻击者可以通过物理访问实现权限升级。通过利用这个漏洞,攻击者可以提取加密密钥并访问笔记本电脑中的信息。目前Intel已发布了此漏洞的固件更新。

影响范围

CVE-2021-0157和CVE-2021-0158:

Intel®Xeon® Processor E Family

Intel®Xeon® Processor E3 v6 Family

Intel®Xeon® Processor W Family

3rd Generation Intel® Xeon® Scalable Processors

11th Generation Intel® Core™ Processors

10th Generation Intel® Core™ Processors

7th Generation Intel® Core™ Processors

Intel®Core™ X-series Processors

Intel®Celeron® Processor N Series

Intel®Pentium® Silver Processor Series

0x02 处置建议

建议用户更新到最新版本。

参考链接:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html

0x03 参考链接

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html

https://www.bleepingcomputer.com/news/security/high-severity-bios-flaws-affect-numerous-intel-processors/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0157

声明:本文来自维他命安全,版权归作者所有。

赞(0) 打赏
未经允许不得转载:黑客技术网 » Intel BIOS权限提升漏洞 (CVE-2021-0157) 风险通告
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏