Компания Intel сообщила о выявлении в её процессорах двух новых уязвимостей с высокой степенью опасности. Они позволяют злоумышленникам и вредоносным программам получать более высокие уровни привилегий на конечном устройстве и выполнять непредусмотренные действия. Уязвимости затрагивают широкий спектр семейств процессоров Intel.

Уязвимости были обнаружены SentinelOne и получили названия CVE-2021-0157 и CVE-2021-0158. Обе уязвимости получили оценку CVSS v3 8,2 (высокая опасность). CVE-2021-0157 касается недостаточного управления потоком управления в BIOS для некоторых процессоров Intel. CVE-2021-0158 связана с неправильной проверкой данных в BIOS.

Отмечается, что злоумышленники смогут воспользоваться уязвимостями и повысить привилегии в системе только при физическом доступе к устройству. Таким образом, в группе риска могут находиться потерянные или похищенные ноутбуки, а также компьютеры с ненадлежащим контролем доступа. Установка пароля BIOS не защитит полностью от атаки, поскольку уязвимость также может быть использована удалённо, если злоумышленник закрепился в системе.

Указанные уязвимости затрагивают следующие семейства процессоров:

• Intel Xeon E
• Intel Xeon E3 v6
• Intel Xeon W
• Intel Xeon Scalable 3-го поколения
• Intel Core 11-го поколения
• Intel Core 10-го поколения
• Intel Core 7-го поколения
• Intel Core X
• Intel Celeron N
• Intel Pentium Silver

Intel не стала делиться техническими подробностями об этих уязвимостях. При этом компания советует пользователям устранять их, применяя доступные обновления BIOS. Учитывая, что уязвимости выявлены и в старых процессорах, мало шансов, что производители материнских плат будут выпускать необходимые обновления BIOS для старых устройств.

Кроме того, Intel рассказала о третьей уязвимости, но она затрагивает решения для автомобилей и встраиваемых систем. CVE-2021-0146 также позволяет повышать привилегии и обладает высокой степенью опасности – CVSS 7,2. Эта уязвимость позволяет активировать режим тестирования и отладки и получить повышенные привилегии. Для этого также потребуется физический доступ к системе. Уязвимости подвержены процессоры семейств Pentium, Celeron и Atom.

Positive Technologies заявляет, что уязвимость затрагивает несколько моделей автомобилей, использующих процессоры Intel Atom E3900, включая Tesla Model 3.

Intel уже выпустила обновление прошивки, чтобы устранить эту уязвимость. Пользователи получат исправление в рамках обновлений, распространяемых производителями систем.

Источник: bleepingcomputer