英特尔发布安全警告，其中7个安全漏洞具有高严重性

芯片制造商英特尔发布安全公告(https://www.intel.com/content/www/us/en/security-center/default.html)，其中7个具有高严重性评级，允许有特权的用户在本地访问目标设备。

此次发布的公告解决了可用于提升特权、拒绝服务和信息披露等的漏洞。

BIOS固件漏洞

“某些英特尔处理器的BIOS固件中存在潜在的安全漏洞，可能会导致特权升级、拒绝服务或信息泄露。英特尔正在发布固件更新以缓解这些潜在漏洞，”该公告称。

BIOS 在启动过程中执行硬件初始化，并为操作系统和程序提供运行时服务。

此公告包括10个高严重性特权提升漏洞。其中一个漏洞被跟踪为CVE-2021-0103的CVSS得分为8.2，这是评级较高的;它利用了一些Intel(R)处理器固件中不够充分的控制流管理，这可能允许特权用户通过本地访问潜在地启用特权升级。

第二个漏洞被跟踪为CVE-2021-0114，CVSS得分为7.9，评级也很高，它利用了某些英特尔(R) 处理器固件中未经检查的返回值，允许特权用户通过本地潜在地启用特权升级使用权。

另一个被跟踪为CVE-2021-0115且CVSS得分为7.9的严重漏洞，再次被评为高级别，是一些Intel(R)处理器的固件中的缓冲区溢出。被跟踪为CVE-2021-0116的漏洞是固件中的越界写入，会影响一些英特尔(R)处理器;该漏洞的CVSS得分为7.9，也被评为较高。

这两个漏洞都允许特权用户通过本地访问潜在地启用特权升级。

一个被跟踪为CVE-2021-0099，CVSS得分为7.8且评级为高的漏洞是某些英特尔(R) 处理器的固件中控制流管理不足。被跟踪为CVE-2021-0156的漏洞是影响某些英特尔(R) 处理器的固件中的不正确输入验证，CVSS得分为7.5，评级为高。

其他已解决的关键漏洞包括CVE-2021-0111、CVE-2021-0107、CVE-2021-0125、CVE-2021-0124、CVE-2021-0119、CVE-2021-0092、CVE-2021-0091和CVE-2021-0093。

英特尔建议用户立即更新到系统制造商提供的最新版本，以解决这些问题。

其他修复

该芯片制造商解决的另一个高严重漏洞问题是在Kernelflinger开源项目中发现的一个严重安全漏洞，跟踪为CVE-2021-33137, CVSS得分7.8，评级很高。

“英特尔已经向Kernelflinger开源项目发出了产品停产通知，并建议Kernelflinger的用户卸载该项目或在他们方便的时候尽早停止使用该项目，”英特尔建议。

“英特尔®维护的Kernelflinger开源项目中的一个潜在安全漏洞可能允许特权升级。英特尔正在发布源代码更新以缓解这一潜在漏洞，并已发布Kernelflinger产品停产通知。”它说。

英特尔还发布了服务器平台服务、主动管理技术和电源管理控制器的关键补丁。英特尔还针对英特尔Quartus Prime组件、PROSet/无线 WiFi和Killer WiFi产品以及AMT SDK、设置和配置软件以及管理引擎BIOS扩展发送了建议。

2021年11月，英特尔针对BIOS(基本输入/输出系统)中两个可能允许特权升级攻击的高严重性漏洞发布了类似的安全警告。

这些漏洞被跟踪为CVE-2021-0157和CVE-2021-0158，它们的CVSS v3得分很高，为8.2。CVE-2021-0157的问题是某些Intel处理器BIOS固件的控制流管理不足，而CVE-2021-0158的问题是同一固件中输入验证不正确。

建议企业尽快检查相关产品，做好漏洞预防措施。有调查显示，旧的安全漏洞在黑客论坛中关注度依旧很高，这就意味着那些没有按时更新软件漏洞补丁的企业被黑客攻击的潜在风险很大。尤其黑客不断扫描网络中存在的漏洞准备随时发起攻击，软件存在安全漏洞就意味着给黑客以可乘之机。

企业除了安装防护软件之外，及时检测、发现网络系统中的薄弱环节，并进行维护和修补，有利于减小被黑客盯上的概率。同时，对于软件开发企业，不应只关注在软件开发的功能和效率，同时要将安全问题融入至开发周期当中，尤其经常被忽略的代码缺陷等问题。在静态代码安全检测中，不但可以查找、定位代码的缺陷问题，同时还能检测出一些不需要运行即可发现的问题，如XXS,注入漏洞、缓冲区溢出等。

文章来源：

https://www.inforisktoday.com/intel-fixes-high-severity-vulnerabilities-a-18547