Intel fixt teils kritische Lücken in UEFI-BIOS, ME und Linux-Grafiktreiber

In den vergangenen Tagen beschäftigten Intel neben ZombieLoad noch weitere Lücken. Eine davon gilt als kritisch.

In Pocket speichern vorlesen Druckansicht 43 Kommentare lesen
Intel fixt teils kritische Sicherheitslücken in UEFI-BIOS, ME und Grafiktreiber

(Bild: geralt)

Lesezeit: 2 Min.

Zeitgleich mit den Informationen zu den MDS-Angriffen/ZombieLoad am vergangenen Patch Tuesday hat Intel Security Advisories zu weiteren Sicherheitslücken veröffentlicht, deren Schweregrad teilweise als "High" bis "Critical" gilt.

Bis auf eine Ausnahme – eine Lücke im i915-Treiber für Intels moderne Grafikprozessoren – handelt es sich durchweg um Firmware-Bugs. Sie stecken in der Firmware der Management Engine (ME) alias Converged Security and Management Engine (CSME) nebst Unterfunktionen, im UEFI-BIOS diverser Intel-Hardware und in der Firmware mehrerer Modelle des Intel NUC Kit.

Im Falle einiger Lücken ist dazu keine vorherige Authentifizierung nötig. Das trifft auch auf die einzige kritische Lücke zu (CVE-2019-0153; siehe INTEL-SA-00213) die die ME betrifft und Angreifern "mit Netzwerkzugriff" unter bestimmten Voraussetzungen die Erweiterung ihrer Zugriffsrechte ermöglicht.

Weitere Lücken könnten unter anderem ausgenutzt werden, um Informationen zu stehlen oder Denial-of-Service-Zustände herbeizuführen.

In einem Sicherheitshinweis zu INTEL-SA-00213 schließt das BSI Remote-Angriffe via CVE-2019-0153 und Co. aus

Intels Angaben zu CVE-2019-0153 gemäß dem Common Vulnerability Scoring System (CVSS-v3-Vector-String) beinhalten hingegen den Angriffsvektor "Network" (N). Laut Spezifikationsdokument zum CVSS v3.0 bedeutet dies, dass die Lücke eben doch aus dem Internet angreifbar ist. Allerdings wäre ein solcher Angriff laut CVSS-v3-Vector-String eher aufwändig durchzuführen (Attack Complexity "High").

Details zu sämtlichen Sicherheitslücken, betroffenen Produkten und verfügbaren Firmware- und Treiber-Updates sind den Advisories zu entnehmen.

Update 16.05.19, 21:01: Einschätzung zur Angreifbarkeit aus der Ferne nach Leserhinweis aufs Common Vulnerability Scoring System im Text bearbeitet. Vielen Dank für den Hinweis! (ovw)