Patchday: Intel bessert unter anderem bei Audio- und Grafiktreibern nach

Intel hat unter anderem gegen Schwachstellen abgesicherte NUC-Firmware veröffentlicht und verweist auf wichtige Patches für den Linux-Bluetooth-Stack BlueZ.

In Pocket speichern vorlesen Druckansicht
Patchday: Intel

(Bild: Intel (Collage))

Lesezeit: 3 Min.
Inhaltsverzeichnis

Wie einige andere Unternehmen veröffentlicht auch Intel am "Patch Tuesday" jedes Monats einen ganzen Schwung Security Advisories zu Sicherheitslücken in verschiedenen Produkten – bestenfalls inklusive Hinweisen auf bereitstehende Updates.

Eine Übersicht der im Rahmen des März-Patchdays erschienenen Advisories bietet ein aktueller Blogeintrag auf Technology@Intel. Demnach finden sich Lücken hohen Schweregrads (CVSS-v3-Scores zwischen 7.0 und 8.9 gemäß Spezifikation)

Die Audiotreiber-Lücke aus INTEL-SA-00354 (CVE-2020-0583, CVSS-v3-Score 8.6) erfordert lokalen Zugriff und kann unter bestimmten Voraussetzungen zur Rechteausweitung missbraucht werden. Sie betrifft die Smart Sound Technology für Core-Prozessoren der achten Generation und Core-i7-Prozessoren der zehnten Generation und wurde mit Version 3431 beziehungsweise Version 3349 (i7) geschlossen. Die entsprechenden Updates sollen von den jeweiligen Geräteherstellern ausgeliefert werden.

Ganze 17 Lücken unterschiedlichen Schweregrads von "Low" bis "High" führt das Advisory INTEL-SA-00315 (Grafik-Treiber) auf. Sie könnten laut Intel unter anderem für Denial-of-Service-Angriffe, Rechteausweitung und den unbefugten Zugriff auf nicht näher bezeichnete Informationen ausgenutzt werden. Details zu Treiberversionen sind dem Advisory zu entnehmen. Intel hat Treiber-Updates angekündigt, die man aus dem Downloadcenter beziehen kann.

Die Updates für BlueZ (INTEL-SA-00352) kommen von den BlueZ-Entwicklern selbst. Und zwar in Gestalt der BlueZ-Version 5.53, die gegen die im Advisory beschriebene Sicherheitslücke CVE-2020-0556 (CVSS-v3-Score 7.1) gewappnet ist. Alle früheren Versionen sind demnach angreifbar. Die Lücke ist laut Beschreibung aus benachbarten Netzwerken ("adjacent access") ohne Authentifizierung ausnutzbar; auch hier können Denial of Service und Rechteausweitung die Folge sein. Weitere Details zur Sicherherheitslücke nennt Entwickler Alain Michaud in einem Mailinglisten-Beitrag.

Intel empfiehlt, BlueZ auf Version 5.53 zu aktualisieren, sobald diese auf bluez.org verfügbar ist. Bis es so weit ist, könne man auf einen Patch zurückgreifen (siehe [BlueZ,1/2] und [BlueZ,2/2]).

Für verschiedene Modelle von Intels NUC-Mini-PCs gibt es laut INTEL-SA-00343 Firmware-Updates. Sie schließen die zur Rechteausweitung lokal ausnutzbaren Sicherheitslücken CVE-2020-0530 und CVE-2020-0526 (7.8 / 7.7). Details zu betroffenen NUC-Modellen und Firmware-Versionen nebst Download-Links finden NUC-Besitzer im Advisory.

Die übrigen Advisories nennen Details zu Sicherheitslücken mit "Medium"-Einstufung. Unter ihnen befindet sich auch die CPU-Sicherheitslücke Load Value Injection (LVI), über die wir in einem separaten Artikel berichtet haben.

Mehr Infos

csfsffs

(ovw)