[TLP:CLEAR] Vícero zranitelností v procesorech Intel a UEFI firmwaru
Společnost Intel vydala bezpečnostní upozornění, které řeší několik zranitelností v hardwaru [1][2] a firmwaru UEFI některých procesorů [3]. Tyto zranitelnosti by v případě zneužití mohly umožnit privilegovaným uživatelům zvýšit svá oprávnění, vykonat odepření služby či únik citlivých informací. Zranitelná je celá řada procesorů Intel, mimo jiné: Intel Xeon rodiny D a E Intel Core 10., 11. a 12. generace Intel Atom Intel Pentium a Celeron První dvě zranitelnosti, týkající se hardwaru, opravuje microcode-20240910 [4], pro opravu následujících a spousty dalších zranitelností musí uživatelé čekat na aktualizace UEFI firmwaru od výrobců počítačů. Lenovo uživatelé již mohou stáhnout opravy z podpory s konkrétními pokyny [5].
Autentizovanému lokálnímu útočníkovi je kvůli bezpečnostní chybě v rozhraní RAPL (Running Average Power Limit) umožněno potenciální vyzrazení citlivých informací [1].
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N
Více informací:
- CVE-2024-23984 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-203: Observable Discrepancy at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému lokálnímu útočníkovi je kvůli nesprávné implementaci konečných automatů v hardwarové logice umožněno vykonat DoS útok [2].
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H
Více informací:
- CVE-2024-24968 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1245: Improper Finite State Machines (FSMs) in Hardware Logic at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému lokálnímu útočníkovi je kvůli race condition chybě umožněno vykonat DoS útok [3].
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
Více informací:
- CVE-2024-23599 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému lokálnímu útočníkovi je kvůli nesprávné validaci vstupu umožněno zvýšit svá oprávnění [3].
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-21871 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému lokálnímu útočníkovi je kvůli nedůvěryhodné dereference ukazatele pro některé referenční procesory umožněno zvýšit svá oprávnění [3].
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2023-42772 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-822: Untrusted Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému lokálnímu útočníkovi je kvůli nesprávné validaci vstupů při zpracování chyb umožněno zvýšit svá oprávnění [3].
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-21829 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému lokálnímu útočníkovi je umožněno zpřístupnit informace nebo vykonat DoS útok [3].
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:H
Více informací:
- CVE-2024-21781 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Odkazy
- [1] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01103.html
- [2] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01097.html
- [3] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01071.html
- [4] https://github.com/intel/Intel-Linux-Processor-Microcode-Data-Files/releases/tag/microcode-20240910
- [5] https://support.lenovo.com/cz/cs/product_security/LEN-165524