“英特尔修补安全引擎中的严重缺陷”

英特尔警告集成的安全管理引擎( csme )固件存在严重漏洞，使用这些漏洞可能会增加特权、拒绝服务和造成新闻泄露。

csme支持英特尔主动管理系统硬件/固件技术。 该技术用于企业pc、物联网( iot )设备和办公室的远程带外管理。

csme的子系统有错误的认证错误( cve-2019-14598 ) )，其cvss得分为8.2，满分为10.0。 这是因为严重程度高。 根据英特尔的说法，拥有本地访问权限的客户可以利用此漏洞发起一系列攻击。

英特尔建议更新至系统制造商提供的英特尔csme 12.0.49、14.0.11和14.0.11版或更高版本以解决这些问题。 据英特尔公司咨询。 为了解决这些问题，英特尔建议物联网客户将英特尔csme 12.0.55版更新为系统制造商提供的12.0.56版或更高版本。

这不是在csme中发现的第一个严重缺陷。 11月，修复了csme的严重漏洞。 此漏洞可能会导致特权升级、拒绝服务或新闻泄露。 5月发现的另一个重要漏洞使经过身份验证的客户能够通过internet访问启用csme的特权升级。

其他缺陷

英特尔在周二修复了6个漏洞，包括csme的严重漏洞。 剩下的洞是中级和低级的。

在英特尔文艺复兴电子usb 3驱动程序中发现了中度严重的漏洞。 该驱动程序是通用英特尔主板附带的usb 3文艺复兴电子适配器的驱动程序。 此漏洞会导致权限升级( cve--0560 )，并由安装程序的不适当权限引起。 英特尔表示已发布驱动程序产品停产通知，而不是更新。 所有版本的驱动程序都会受到影响。

英特尔发布了英特尔文艺复兴电子usb 3.0驱动程序产品停产通知。 如果您要卸载或停止使用英特尔文艺复兴电子usb 3.0驱动程序，英特尔会尽快在您方便的时候表示。

英特尔raid web控制台版本有两个中度严重的缺陷，用户可以配置系统上安装的英特尔raid自定义存储控制器和磁盘驱动器。 windows的intel raid web控制台3(CVE--0564 )由于安装程序的不正当权限，存在中度重要性的权限升级漏洞。 另一个位于Intel raid网络控制台2。 这也来源于安装程序的非法权限。 ----0562。 英特尔还修复了运行英特尔至强融合解决方案所需的一系列英特尔软件组件——英特尔酷睿平台的严重漏洞。 允许缺陷( cve--0563 )、权限升级，同时由安装程序的不适当权限引起。

最终发现了不太重要的漏洞，并在Intelsoftwareguardextension®SDK®中进行了修复。 利用此漏洞将启用特权升级。

这是最新的英特尔安全更新。 1月，英特尔警告其性能分析工具intel vtune profiler存在严重漏洞。 利用此漏洞，攻击者可以对对方执行特权升级攻击，从而改善对目标系统的未经授权的系统访问。 同样在1月，英特尔发布了新的推测执行型攻击，称为cacheout。 这可能会导致攻击者泄露大部分英特尔处理器的数据。

本文：《“英特尔修补安全引擎中的严重缺陷”》