Intel vá nhiều lỗ hổng nghiêm trọng trong các sản phẩm 

Intel vừa phát hành bản vá cho hàng chục lỗ hổng trong các sản phẩm của mình, trong đó có nhiều lỗ hổng có mức độ nghiêm trọng cao. 

Lỗ hổng nghiêm trọng nhất được vá là CVE-2021-39296 (điểm CVSS: 10), ảnh hưởng đến bộ điều khiển quản lý bo mạch cơ sở tích hợp (BMC) và firmware OpenBMC của một số nền tảng Intel. Đây là lỗi trong giao diện netipmid (IPMI lan+), cho phép tin tặc bỏ qua xác thực chiếm quyền truy cập root vào BMC. 

4 lỗ hổng khác được vá trong firmware BMC và OpenBMC bao gồm lỗi out-of-bounds có mức độ nghiêm trọng cao, có thể dẫn đến DoS. Intel đã phát hành các phiên bản firmware BMC tích hợp 2.86, 2.09 và 2.78 cũng như firmware OpenBMC phiên bản 0.72, wht-1.01-61 và egs-0.91-179 để vá các lỗi này. 

Lỗ hổng leo thang đặc quyền nghiêm trọng CVE-2022-33196 trong bộ xử lý Xeon với SGX cũng đã được vá. Hiện đã có cả bản cập nhật BIOS và microcode cho lỗ hổng này. 

Intel cũng cảnh báo về lỗ hổng leo thang đặc quyền nghiêm trọng ảnh hưởng đến bộ xử lý Atom và Xeon. Đồng thời, phát hành bản cập nhật microcode cho Xeon để vá lỗ hổng CVE-2022-33972 – lỗi tính toán không chính xác có thể dẫn đến tiết lộ thông tin. 

Các lỗi leo thang đặc quyền mức độ nghiêm trọng cao trong firmware BIOS và TXT (Trusted Execution Technology), SINIT (Secure Initialization), ACM (Authenticated Code Modules) của một số bộ xử lý cũng đã được Intel giải quyết. 

Các lỗ hổng nghiêm trọng trong phần mềm Hỗ trợ trình điều khiển (DSA) và các lỗ hổng khác trong Công cụ chẩn đoán tuổi thọ pin, Bộ công cụ oneAPI, Báo cáo sử dụng hệ thống (SUR), firmware Dịch vụ nền tảng máy chủ (SPS) và phần mềm Quartus Prime Pro phiên bản Standard cũng đã được xử lý. 

Nhiều lỗ hổng có mức độ trung bình khác cũng được vá trong FPGA SDK cho phần mềm OpenCL Quartus Prime Pro, Giải pháp cảm biến tích hợp, Bộ công cụ phát triển phần mềm media (SDK), phần mềm Trace Analyzer and Collector, cũng như driver Xe MAX cho Windows. 

Intel khuyến nghị người dùng cập nhật lên phiên bản phần mềm và firmware mới nhất càng sớm càng tốt. 

Nguồn: Securityweek