|
Intel Security Advisories hat zeitgleich mit den Informationen
zu den MDS-Angriffen/ZombieLoad
am 14.05.2019 weitere Sicherheitslücken veröffentlicht,
deren Schweregrad teilweise als "High" bis "Critical"
eingestuft wurden.
Es handelt sich, bis auf eine Ausnahme – eine Lücke im
i915-Treiber für Intels moderne Grafikprozessoren – um
Firmware-Bugs. Diese stecken in der Firmware der Management Engine
(ME) alias Converged Security and Management Engine (CSME) nebst
Unterfunktionen, im UEFI-BIOS diverser Intel-Hardware und in der
Firmware mehrerer Modelle des Intel NUC Kit.
Für einige Lücken ist dazu keine vorherige Authentifizierung
nötig. Auf die einzige kritische Lücke (CVE-2019-0153;
siehe INTEL-SA-00213),
die die ME betrifft und Angreifern "mit Netzwerkzugriff"
unter bestimmten Voraussetzungen die Erweiterung ihrer Zugriffsrechte
ermöglicht, trifft das auch zu. Unter anderem könnten
weitere Lücken ausgenutzt werden, um Informationen zu stehlen
oder Denial-of-Service-Zustände herbeizuführen.
Das BSI schließt in einem Sicherheitshinweis
zu INTEL-SA-00213 einen Remote-Angriffe via CVE-2019-0153 und Co.
aus
Gemäß dem Common Vulnerability Scoring System (CVSS-v3-Vector-String)
beinhalten Intels Angaben zu CVE-2019-0153 den Angriffsvektor "Network"
(N). Laut Spezifikationsdokument
zum CVSS v3.0 bedeutet dies, dass die Lücke aus dem Internet
angreifbar ist. Ein solcher Angriff wäre laut CVSS-v3-Vector-String
allerdings eher aufwändig durchzuführen (Attack Complexity
"High").
Den Advisories sind die Details zu sämtlichen Sicherheitslücken,
betroffenen Produkten und verfügbaren Firmware- und Treiber-Updates
zu entnehmen:
INTEL-SA-00251:
Intel NUC Advisory
INTEL-SA-00249:
Intel i915 Graphics for Linux Advisory
INTEL-SA-00223:
2019.1 QSR UEFI Advisory
INTEL-SA-00213:
Intel® CSME, Intel® SPS, Intel® TXE, Intel® DAL,
and Intel® AMT 2019.1 QSR Advisory.
(hv, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
