压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

0x00 漏洞背景

英特爾公布：在英特爾 CSME，英特爾服務(wù)器平臺服務(wù)和英特爾可信執(zhí)行引擎固件中潛在的安全漏洞會允許信息泄漏，英特爾正在發(fā)布英特爾 CSME，英特爾服務(wù)器平臺服務(wù)和英特爾可信執(zhí)行引擎更新，以緩解此潛在漏洞。

360-CERT團隊經(jīng)過評估，認為漏洞風(fēng)險等級高危，建議用戶參照相關(guān)修復(fù)建議進行防御。

0x01 漏洞細節(jié)

CVE ID: CVE-2018-3655

描述：漏洞存在于11.21.55版本之前的英特爾CSME中的子系統(tǒng)，4.0版本之前的英特爾服務(wù)器平臺服務(wù)和3.1.55版本之前的英特爾可信執(zhí)行引擎固件中，可能允許未經(jīng)身份驗證的用戶通過物理訪問來修改或泄漏信息。

CVSS Base Score: 7.3 High

CVSS Vector: CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

具有物理訪問權(quán)限的未經(jīng)身份驗證的用戶可以：

?繞過英特爾CSME 反重放保護，可能允許暴力攻擊來獲取存儲在英特爾CSME內(nèi)的信息。

?獲得未經(jīng)授權(quán)訪問英特爾MEBX的密碼。

?篡改英特爾CSME文件系統(tǒng)目錄的完整性或服務(wù)器平臺服務(wù)和可信執(zhí)行環(huán)境（英特爾TXT）數(shù)據(jù)文件。

INTEL-SA-00086中描述的緩解措施無法防止此問題，因為對系統(tǒng)具有物理訪問權(quán)限的用戶可能能夠回滾到受CVE-2017-5705，CVE-2017-5706和CVE-2017-5707影響的早期英特爾CSME固件。

0x02 影響范圍

此漏洞影響英特爾CSME固件版本：11.0至11.8.50， 11.10至11.11.50， 11.20至11.21.51。 英特爾服務(wù)器平臺服務(wù)固件版本：4.0（僅限Purley和Bakerville）。 英特爾TXE版本：3.0到3.1.50。

Intel CSME:

英特爾服務(wù)平臺服務(wù)：

英特爾可信執(zhí)行引擎（TXE）：

不受影響范圍： 英特爾CSME固件11.0版本之前的版本 。 英特爾服務(wù)器平臺服務(wù)4.0以前版本。 TXE 3.0以前版本。 英特爾CSME固件版本11.8.55 ， 11.11.55 ， 11.21.55 版本。 英特爾服務(wù)器平臺服務(wù)5.0及更高版本。 TXE 3.1.55或更高版本。

0x03 修復(fù)建議

請英特爾CSME，英特爾服務(wù)器平臺服務(wù)和英特爾可信執(zhí)行引擎（TXE）的用戶更新最新補丁。

0x04 時間線

2018-09-11?英特爾漏洞披露

2018-09-12?360CERT發(fā)布預(yù)警通告

0x05 參考鏈接

1. https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.html
2. https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html