导读 英特尔本周又发布了另一份安全公告,这一次表示其NUC mini PC容易受到特权攻击的升级。该公司还发布了微型PC的固件补丁程序,以减轻潜在
英特尔本周又发布了另一份安全公告,这一次表示其NUC mini PC容易受到特权攻击的升级。该公司还发布了微型PC的固件补丁程序,以减轻潜在的攻击。研究人员今年发现了NUC PC的多个漏洞。
强烈建议NUC所有者下载其型号固件的最新更新,您可以从公司的网站上获取。
根据英特尔的咨询,这五个漏洞可能使攻击者升级NUC设备上的特权。他们中的两个人得到的通用漏洞评分系统(CVSS)基本得分为7.8,三个人的得分为7.5,所有这些都代表严重程度高的漏洞。
第一个漏洞(CVE-2019-14608)是由于NUC固件中的缓冲区限制不当所致,这可能使攻击者可以通过对设备的本地访问来启用特权升级。
第二个漏洞(CVE-2019-14610)描述了NUC固件中的不正确访问控制,该访问控制可能允许经过身份验证的用户通过本地访问启用特权升级。
第三个漏洞(CVE-2019-14609)来自固件中不正确的输入验证,这也导致通过本地访问的特权升级。
NUC固件的第四个缺陷(CVE-2019-14611)是整数溢出,它可能导致相同类型的攻击。
最终漏洞(CVE-2019-14612)是NUC固件中的写限制,攻击者还可以利用NUC固件通过本地访问来升级系统特权。
除了针对其处理器的所有推测性执行攻击之外,英特尔今年还不得不为其NUC系列设备发布多个安全公告。自从Spectre CPU漏洞被发现以来,该公司一直在尝试对安全性进行优先级排序,这在某种程度上意味着鼓励研究人员在其平台上寻找漏洞。
英特尔不必再问两次,因为漏洞披露似乎还在继续。随着岁月的流逝,英特尔尝试摆脱其产品的安全漏洞的努力是否会导致更少的错误,还有待观察,或者随着更多研究人员对英特尔产品的研究,我们会发现错误披露的增加还有待观察。