【误差通告】Intel BIOS权限提升误差 (CVE-2021-0157)

宣布时间 2021-11-16


0x00 误差概述

CVE     ID

CVE-2021-0157

时      间

2021-11-09

类      型

LPE

等      级

高危

远程使用

影响规模


攻击重漂后

可用性

用户交互

 

所需权限

PoC/EXP


在野使用


 

0x01 误差详情

image.png

2021年11月9日,,,,,,,Intel宣布清静通告,,,,,,,果真了Intel 处置惩罚器的 BIOS固件中的2个外地权限提升误差(CVE-2021-0157和CVE-2021-0158),,,,,,,它们的CVSS评分均为8.2。。。。。。。攻击者或恶意软件可以使用这些误差在装备上获得更高的特权,,,,,,,但条件是攻击者可以物剖析见易受攻击的装备。。。。。。。

Intel BIOS权限提升误差(CVE-2021-0157)

由于某些Intel处置惩罚器的BIOS固件中的控制流治理缺乏,,,,,,,拥有特殊权限的攻击者可以通过外地会见实现特权升级。。。。。。。

Intel BIOS权限提升误差(CVE-2021-0158)

由于某些Intel处置惩罚器的BIOS固件中的输入验证不当,,,,,,,拥有特殊权限的攻击者可以通过外地会见实现特权升级。。。。。。。

Intel在统一天还修复了另一个权限提升误差(CVE-2021-0146,,,,,,,CVSS评分7.1),,,,,,,未经认证的攻击者可以通过物剖析见实现权限升级。。。。。。。通过使用这个误差,,,,,,,攻击者可以提取加密密钥并会见条记本电脑中的信息。。。。。。。现在Intel已宣布了此误差的固件更新。。。。。。。

 

影响规模

CVE-2021-0157和CVE-2021-0158:

Intel? Xeon? Processor E Family

Intel? Xeon? Processor E3 v6 Family

Intel? Xeon? Processor W Family

3rd Generation Intel? Xeon? Scalable Processors

11th Generation Intel? Core? Processors

10th Generation Intel? Core? Processors

7th Generation Intel? Core? Processors

Intel? Core? X-series Processors

Intel? Celeron? Processor N Series

Intel? Pentium? Silver Processor Series

0x02 处置惩罚建议

建议用户更新到最新版本。。。。。。。

参考链接:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html

 

0x03 参考链接

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html

https://www.bleepingcomputer.com/news/security/high-severity-bios-flaws-affect-numerous-intel-processors/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0157

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-11-16

首次宣布

 

0x05 关于鉴黑担保网

鉴黑担保网简介

鉴黑担保网公司建设于1996年,,,,,,,并于2010年6月23日在深交所中小板正式挂牌上市,,,,,,,是海内最具实力的信息清静产品和清静治理平台、清静效劳与解决计划的领航企业之一。。。。。。。

公司总部位于北京市中关村软件园,,,,,,,在天下各省、市、自治区设立分支机构六十多个,,,,,,,拥有笼罩天下的销售系统、渠道系统和手艺支持系统;;;并在华北、华东、西南和华南结构四大研发中心,,,,,,,划分为北京研发总部、上海研发中心、成都研发中心和广州研发中心。。。。。。。

多年来,,,,,,,鉴黑担保网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳,,,,,,,资助客户周全提升其IT基础设施的清静性和生产效能,,,,,,,为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。。。。。

 

关于鉴黑担保网

鉴黑担保网清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。。。。。。。

关注以下公众号,,,,,,,获取全球最新清静资讯:

image.png