Intel爆出重量级AMT漏洞:未经身份验证窃取个人信息
原标题:Intel爆出重量级AMT漏洞:未经身份验证窃取个人信息
来源:TechWeb编译
什么是Intel AMT
Intel AMT其全称为INTEL Active Management Technology(英特尔主动管理技术),它实质上是一种集成在芯片组中的嵌入式系统,不依赖特定的操作系统,这也是IAMT与远程控制软件最大的不同。这项技术能让IT管理人员远程管理和修复PC、工作站和服务器。
Intel漏洞
6月10日 Intel发布了安全更新,该更新主要修复了在5月爆出的漏洞。
AMT的IPv6子系统(和英特尔的标准可管理性解决方案,具有与AMT相似的功能)存在一个越界读取漏洞(CVE-2020-0594)和一个释放后重用(use-after-free)漏洞(CVE-2020-0595)。这些漏洞可能使未经身份验证的用户能够通过网络访问获得提升的特权。11.8.77、11.12.77、11.22.77和12.0.64之前的AMT版本会受到影响。具体受影响的产品和修复措施可参见官网:https://www.intel.cn/content/www/cn/zh/support/articles/000056594/technologies.html?wapkw=CVE-2020-0595
Intel Innovation Engine(英特尔创新引擎)中存在的一个高严重性特权升级漏洞(CVE-2020-8675)。Intel Innovation Engine是外围控制器中枢(PCH)的嵌入式核心,它是系统供应商可以用来自定义其固件的专用子系统。该漏洞源自Innovation Engine 1.0.859之前的版本固件构建和签名工具中的控制流管理不足,它可能允许未经身份验证的用户潜在地通过物理访问启用特权升级。
英特尔的固态硬盘(SSD)产品中爆出了一个信息泄露漏洞(CVE-2020-0527)。该漏洞源自某些英特尔数据中心SSD的固件控制流管理不足。受影响产品列表和修复措施可参见官网:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00266.html
英特尔还爆出了某些英特尔处理器的BIOS固件中的漏洞,这些漏洞可能导致特权升级或拒绝服务(DoS)。其中包括高严重性漏洞(CVE-2020-0528),该漏洞源自第7代,第8代,第9代和第10代Intel Core处理器BIOS固件中的缓冲区限制不当。为了利用此漏洞,攻击者需要进行身份验证(用于特权升级)并具有本地访问权限(用于DoS)。英特尔建议用户更新至系统制造商提供的最新固件版本,以解决此问题。
英特尔(CVE-2020-0543)6月9日披露的一个中等严重性漏洞被安全研究人员称为“ CrossTalk”,该漏洞利用侧通道攻击从受影响的系统中窃取数据。该漏洞可能使具有本地访问权限的攻击者能够通过运行代码从运行在不同CPU内核上的应用程序(与运行攻击者代码的CPU代码不同) 获取数据。CrossTalk会影响50多个Intel移动,台式机,服务器和工作站处理器。可在官方地址找到影响产品列表:https://software.intel.com/security-software-guidance/processors-affected-transient-execution-attack-mitigation-product-cpu-model
同时,英特尔也给出了针对 CrossTalk的缓解措施,参见官网地址:https://software.intel.com/security-software-guidance/insights/deep-dive-special-register-buffer-data-sampling
责任编辑:鲍一凡
贝索斯将于7月5日卸任CEO 亚马逊同时宣布了一个大动作
据报道,当地时间周三,杰夫·贝索斯宣布将于7月5日卸任亚马逊CEO,由现负责云计算业务的高管安迪·贾西接任。贝索斯说,选择这一天是因为亚马逊是在27年前的这一天成立的。卸任CEO后,他将出任执行董事长,并专注于新项目和计划。同时亚马逊周三宣布,同意以84.5亿美元收购米高梅影城。退居二线0001英国医生称多数咖啡粉中含有蟑螂 “蛋白质含量很高”
据每日有报道,英国NHS的一名医生KaranRaj在社交媒体上称,咖啡粉的成分中通常含有一定比例的蟑螂和其他生物,他称这些蟑螂通常不能被完全处理掉,所以只能被烘烤,然后和咖啡豆一起被磨碎。不过这位医生也称,大多数食品权威机构允许食物中有一定比例的昆虫,而且“蛋白质含量很高”。“如果你对蟑螂过敏,最好远离咖啡”。这可能是咖啡爱好者最大的痛苦了。责任编辑:张亚楠0001去年亏损超2亿元 华融消费金融傍上蚂蚁集团能咸鱼翻身吗?
记者|胡颖君被业界称作“最惨消金公司”的华融消费金融正在谋求线上转型。8月4日晚间,中国华融官方公众号宣布,华融消费金融全面布局线上产品,顺利上线“蚂蚁借呗二期”等新产品。一位资深业内人士告诉界面新闻记者,“蚂蚁借呗二期”应该是支付宝推出的大额现金贷产品“借呗+”,该产品于去年6月正式上线。0000严格排雷违规贷款流入楼市 “深房理”调查牵出21.55亿问题款
本报记者张漫游秦玉芳北京广州报道从今年3月深圳银保监局公布的5180万元、21笔涉嫌违规经营贷款被提前收回,到近日公布的共发现21.55亿元经营用途贷款违规流入房地产领域,违规经营贷规模呈数量级变化的背后,是“深房理”事件暴露后,监管层对深圳楼市的严格排查。0000视频|中国网友做了个片子 起底美国全球散毒真相!
11月5日,中国网友在海外社交媒体平台发布了一条名为《散毒者》的短视频,历数了美国加速新冠病毒在全球扩散的种种不负责任、自私自利的荒唐行为。