Intel fixt teils kritische Lücken in UEFI-BIOS, ME und Linux-Grafiktreiber

Zeitgleich mit den Informationen zu den MDS-Angriffen/ZombieLoad am vergangenen Patch Tuesday hat Intel Security Advisories zu weiteren Sicherheitslücken veröffentlicht, deren Schweregrad teilweise als “High” bis “Critical” gilt.

Bis auf eine Ausnahme – eine Lücke im Linux-Treiber für i915-Grafikchips – handelt es sich durchweg um Firmware-Bugs. Sie stecken in der Firmware der Management Engine (ME) alias Converged Security and Management Engine (CSME) nebst Unterfunktionen, im UEFI-BIOS diverser Intel-Hardware und in der Firmware mehrerer Modelle des Intel NUC Kit.

Im Falle einiger Lücken ist dazu keine vorherige Authentifizierung nötig. Das trifft auch auf die einzige kritische Lücke zu (CVE-2019-0153; siehe INTEL-SA-00213) die die ME betrifft und Angreifern “mit Netzwerkzugriff” unter bestimmten Voraussetzungen die Erweiterung ihrer Zugriffsrechte ermöglicht. Weitere Lücke könnten unter anderem ausgenutzt werden, um Informationen zu stehlen oder Denial-of-Service-Zustände herbeizuführen.

Zum Ausnutzen der Lücken unterscheidet Intel etwas vage zwischen benötigtem “physischem”, “lokalem” und “Netzwerk-Zugriff”. Mit letzterem ist wohl der Zugriff aus demselben Netzwerk gemeint. So interpretiert es auch das BSI, das in einem Sicherheitshinweis zu INTEL-SA-00213 Remote-Angriffe via CVE-2019-0153 und Co. ausschließt.

Im Falle zweier (allerdings nur mit “Medium” eingestufter) Lücken (CVE-2019-0094 und CVE-2019-0096; siehe INTEL-SA-00213) seien auch Angriffe über benachbarte Netzwerke (“adjacent networks”) möglich. Anhaltspunkte für Angriffsmöglichkeiten aus dem Internet liefern die Advisories aber nicht.

Details zu den Sicherheitslücken, betroffenen Produkten und verfügbaren Firmware- und Treiber-Updates sind den Advisories zu entnehmen.


(ovw)

Integriert von Heise Security – www.heisec.de