首页 > 安全钻研 > 安全传递 > 安全公告

Intel CSME引擎安全缝隙风险公告

颁布功夫 2020-02-14

缝隙编号和级别

CVE编号：CVE-2019-14598，危险级别：高危，CVSS分值：厂商自评：8.2，官方未评定

影响版本

Intel? CSME versions before 12.0.49 (IOT only: 12.0.56), 13.0.21, 14.0.11.

缝隙概述

Intel Converged Security and Management Engine（CSME，即融合安全和可治理性引擎）是推动 Intel 活动治理技术的芯片集子系统。CSME支持英特尔的自动治理系统硬件和固件技术，该技术用于消费或公司PC，物联网(IoT)设备和工作站中的远程带表治理。

CSME的子系统存在不正确的身份验证谬误(CVE-2019-14598)，该缝隙如遭利用，可导致本地威胁行动者发起提权、回绝服务和信息泄露攻击。

Intel 还颁布了针对Windows 版本的 RAID Web Console 2 (RWC2) 和 RAID Web Console 3 (RWC3) 的安全更新。

第一个缝隙 CVE-2020-0562 影响所有 RWC2 版本，CVSS 根本分为6.7，属于“中危”缝隙。本地经认证的用户可利用该缺点提权，不外 Intel 公司将不会建复该问题，而是暗示该产品将停产，建议用户更新至 RWC3版本。

第二个缝隙 CVE-2020-0564 会产生一样的潜在后果，它影响 7.010.009.000 版本之前的 RWC3 产品。

Intel Manycore Platform Software Stack (MPSS) 版本3.8.6 之前的版本已收到建复规划以解决 CVE-2020-0563。该缝隙为中危缝隙，CVSS 根本分是6.7。未经认证的用户能利用该缝隙通过因权限处置不正确而造成的本地权限而引发的提权。

Intel 公司还提到了另表一个中危缝隙 CVE-2020-0560，它影响 Intel Renesas Electronics USB 3.0 驱动，可导致在所有版本中的提权的后果。Intel 公司暗示不会建复该缝隙，而是推荐用户卸载或终场使用该产品。

Intel 公司还建复了Intel SGX 中的一个低危缝隙 CVE-2020-0561，它是一个初始化不当问题，其 CVSS 根本分为2.5分，可导致认证用户通过本地接见权限提权。

缝隙验证

暂无POC/EXP。

建复建议

目前厂商已颁布升级补丁以建复缝隙，补丁获取链接：https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00307.html。

参考链接

https://www.zdnet.com/article/intel-warns-of-critical-security-flaw-in-csme-engine/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Intel CSME引擎安全缝隙风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线