据BleepingComputer网站报道,英特尔公布了自家处理器中的三个高危漏洞,影响范围广泛,可让攻击者和恶意软件获得设备系统的增强权限。其中两个漏洞是CVE-2021-0157和CVE-2021-0158,两者的CVSSv3评分均为8.2,属于高严重级别。它们是由反病毒预警软件开发商SentinelOne发现的。前者涉及某些英特尔处理器的BIOS固件中控制流管理不足,而后者则依赖于对同一组件的不正确输入验证。根据Intel提供的信息,受影响的处理器有以下系列:IntelXeonE系列处理器IntelXeonE3v6系列处理器IntelXeonW系列处理器Intel3rdgenerationXeonScalableprocessorsIntel11thgenerationIntel10thGenerationIntelCoreProcessorsIntel第7代英特尔酷睿X系列处理器英特尔赛扬N系列处理器英特尔奔腾Silver系列处理器英特尔尚未公布有关这两个缺陷的更多技术细节,他们建议用户通过可用的BIOS更新来修补漏洞。但由于主板供应商并未为其产品提供长期的安全支持,例如英特尔5年前问世的第七代酷睿处理器,上述受影响的产品无法从根本上解决这些问题。同一天,英特尔单独宣布了网络安全公司PositiveTechnologies发现的第三个漏洞CVE-2021-0146。这也是一个高危(CVSS7.2)特权提升漏洞,可能允许攻击者访问高度敏感的信息并影响多个IntelPentium和Atom系列处理器。这个漏洞的特别之处在于它还影响了一些汽车产品,比如搭载英特尔凌动E3900的特斯拉Model3。英特尔已经发布了固件更新来缓解这个缺陷,用户可以通过系统制造商提供的补丁来修复它。参考来源:https://www.bleepingcomputer.com/news/security/high-severity-bios-flaws-affect-numerous-intel-processors/
