Хакер #305. Многошаговые SQL-инъекции
Компания Intel выпустила августовский набор патчей, в том числе устранив уязвимость в нескольких моделях NUC Kit, которая могла быть использована для повышения привилегий, DoS-атак или раскрытия информации.
Хуже того, проблема затронула не только NUC Kit, но и Compute Card и Compute Stick, работающих с тем же BIOS. Так, уязвимость представляет опасность для следующих моделей:
- Intel NUC Kit NUC7i7DNx;
- Intel NUC Kit NUC7i5DNx;
- Intel NUC Kit NUC7i3DNx;
- Intel Compute Stick STK2MV64CC;
- Intel Compute Card CD1IV128MK.
Уязвимости был присвоен номер CVE-2019-11140, и она оценивается в 7,5 баллов из 10 по шкале CVSS. К счастью, эксплуатация проблемы возможна лишь в том случае, если злоумышленник имеет локальный привилегированный доступ к системе.
Еще одна серьезная проблема была исправлена в составе утилиты Processor Identification для Windows (бесплатный инструмент, который позволяет пользователям получить подробную информацию о своем процессоре Intel). Баг получил идентификатор CVE-2019-11163 и уровень серьезности 8,2 баллов из 10 возможных. Данная уязвимость позволяла повысить привилегии, осуществить DoS-атаку или раскрыть информацию, однако ее эксплуатация требует локального доступа к целевой системе.
Похожая уязвимость была найдена и в составе Computing Improvement Program (CVE-2019-11162), но чтобы воспользоваться ею тоже требовался локальный доступ и аутентификация.
Также в этом месяце разработчики Intel устранили и ряд менее опасных проблем в своих продуктах:
- все версии Raid Web Console 2 были подвержены проблеме CVE-2019-0173. Теперь производитель рекомендует удалить эту версию и перейти на RAID Web Console 3 версии 7.009.011.000 или новее.
- в Intel Authenticate нашли уязвимость средней степени серьезности (CVE-2019-11143), которая могла привести к повышению привилегий;
- в составе Intel Driver & Support Assistantисправили уязвимость средней степени серьезности (CVE-2019-11145), которая тоже могла использоваться для повышения привилегий (но требовала локального доступа);
- в Intel Remote Displays SDKустранили уязвимость средней степени серьезности (CVE-2019-11148), при помощи которой так же можно было повысить привилегии.