[TLP:CLEAR] Vícero zranitelností v procesorech Intel a UEFI firmwaru

Společnost Intel vydala bezpečnostní upozornění, které řeší několik zranitelností v hardwaru [1][2] a firmwaru UEFI některých procesorů [3]. Tyto zranitelnosti by v případě zneužití mohly umožnit privilegovaným uživatelům zvýšit svá oprávnění, vykonat odepření služby či únik citlivých informací. Zranitelná je celá řada procesorů Intel, mimo jiné: Intel Xeon rodiny D a E Intel Core 10., 11. a 12. generace Intel Atom Intel Pentium a Celeron První dvě zranitelnosti, týkající se hardwaru, opravuje microcode-20240910 [4], pro opravu následujících a spousty dalších zranitelností musí uživatelé čekat na aktualizace UEFI firmwaru od výrobců počítačů. Lenovo uživatelé již mohou stáhnout opravy z podpory s konkrétními pokyny [5].

Intel processor - information disclosure (CVE-2024-23984) CVSS 5.3 (Medium)

Autentizovanému lokálnímu útočníkovi je kvůli bezpečnostní chybě v rozhraní RAPL (Running Average Power Limit) umožněno potenciální vyzrazení citlivých informací [1].

CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 10. 9. 2024.

Intel processor - denial of service (CVE-2024-24968) CVSS 5.3 (Medium)

Autentizovanému lokálnímu útočníkovi je kvůli nesprávné implementaci konečných automatů v hardwarové logice umožněno vykonat DoS útok [2].

CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 10. 9. 2024.

UEFI firmware - denial of service (CVE-2024-23599) CVSS 7.9 (High)

Autentizovanému lokálnímu útočníkovi je kvůli race condition chybě umožněno vykonat DoS útok [3].

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 10. 9. 2024.

UEFI firmware - privilege escalation (CVE-2024-21871) CVSS 7.5 (High)

Autentizovanému lokálnímu útočníkovi je kvůli nesprávné validaci vstupu umožněno zvýšit svá oprávnění [3].

CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 10. 9. 2024.

UEFI firmware - privilege escalation (CVE-2023-42772) CVSS 8.2 (High)

Autentizovanému lokálnímu útočníkovi je kvůli nedůvěryhodné dereference ukazatele pro některé referenční procesory umožněno zvýšit svá oprávnění [3].

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 10. 9. 2024.

UEFI firmware - privilege escalation (CVE-2024-21829) CVSS 7.5 (High)

Autentizovanému lokálnímu útočníkovi je kvůli nesprávné validaci vstupů při zpracování chyb umožněno zvýšit svá oprávnění [3].

CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 10. 9. 2024.

UEFI firmware - information disclosure, denial of service (CVE-2024-21781) CVSS 7.2 (High)

Autentizovanému lokálnímu útočníkovi je umožněno zpřístupnit informace nebo vykonat DoS útok [3].

CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 10. 9. 2024.


Publikovala Michaela Mačalíková dne 16. 9. 2024.

CESNET CERTS Logo