英特尔内存漏洞给数百种产品带来安全风险

芯片制造商英特尔(Intel)报告称,一个内存bug影响了“数百款”产品中使用的微处理器固件。根据该公司周二发布的一份建议,该漏洞是基于固件的,通用漏洞评分系统(CVSS)评分为7分,被评为“高风险”。

该漏洞存在于某些Intel Optane SSD和Intel Optane Data Center (DC)产品中,其影响将允许特权升级、拒绝服务(DoS)或信息泄露。

英特尔报告称:“某些英特尔Optane SSD和英特尔Optane SSD数据中心产品的潜在安全漏洞可能允许特权升级、拒绝服务或信息披露。”

英特尔已针对一年前首次出现的Optane SSD缺陷发布了固件更新和规范指南。

SSD (Solid-state drives)硬盘主要用于数据存储。optane内存是一个系统加速解决方案,用于增加对最终用户请求的响应时间,optane内存安装在处理器和较慢的存储设备(SATA HDD, SSHD, SSD)之间。optane内存存储靠近处理器的常用数据和程序。

Intel Optane Data Center SSD用于消除数据中心存储瓶颈,为更大、更实惠的数据集提供存储,从而优化整体性能。

漏洞详情

CVE-2021-33078

根据英特尔的说法,它的CVSS基础分数为7.9,并被描述为英特尔Optane SSD和英特尔Optane SSD DC产品中的一个线程内的竞态条件。获得特权用户访问权的攻击者可以通过本地访问执行拒绝服务攻击。

当两个线程试图同时访问一个共享变量时,就会出现竞争条件。

CVE-2021-33077

该漏洞描述为Intel SSD和Intel SSD DC产品固件中控制流管理不足。未经身份验证的用户可能利用此漏洞通过物理访问执行权限升级。

它的CVSS基础分数是7.3

CVE-2021-33080

攻击者可以通过物理访问Intel SSD DC、Intel Optane SSD、Intel Optane SSD DC产品,进行信息泄露或权限升级。该漏洞是由于固件中调试信息不明确,导致敏感信息暴露。

它的CVSS基础分数为 7.3

英特尔还披露了另外五个被评为中级的漏洞。清单如下:

CVE-2021-33074

CVE-2021-33069

CVE-2021-33075

CVE-2021-33083

CVE-2021-33082

受影响的产品

英特尔已发布受这些漏洞影响的产品列表。

涉及的产品包括Intel Optane SSD DC D4800X和P4800X/P4801X系列的所有版本,包括以前的E2010600版本。Intel Optane SSD P5800X系列在L3010200版本之前以及905P/900P系列所有版本均受影响。

受影响的产品还包括适用于所有版本的英特尔傲腾内存H10和带有固态存储系列的 H20。

建议和更新

可在此处下载Intel发布的更新:

(www.intel.com/content/www…)

Intel发布的公告还包括CVE-2021-33082的可能解决方法。

intel-bug.png

文章来源:

threatpost.com/intel-memor…

评论