Intel biztonsági sérülékenységek


2017. november 22. 11:28

CH azonosító

CH-14302

Angol cím

Intel security vulnerabilities

Felfedezés dátuma

2017.11.19.

Súlyosság

Magas

Érintett rendszerek

Intel

Érintett verziók

A 2015 utáni 6. generációs (Skylake) és újabb generációs Intel processzorok, továbbá a Xeon termékvonal E3-1200 v5 és v6, a Scalable és 'W' termékcsaládja, az Atom C3000 processzor család, az Apollo Lake Atom processzor E3900 szériája, az Apollo Lake Pentium és Celeron 'N' és 'J' szériáját tartalmazó számítógépek.

Összefoglaló

Az Intel több magas kockázati besorolású sérülékenységgel kapcsolatban adott ki biztonsági figyelmeztetést, amelyek kihasználása a távoli támadó részére kódfuttatást tehet lehetővé intel alapú számítógépeken.

Leírás

Az Intel által közzétett, a Management Engine (ME), a Server Platform Services (SPS) és a Trusted Execution Engine (TXE) rendszer menedzsment funkciók sérülékenységeinek kihasználásával a távoli felhasználó képessé válhat érzékeny információk megszerzésére és kódok jogosulatlan futtatására.

Megoldás

Az intel egy detektáló szoftvert tett elérhetővé az oldalán az érintett rendszerek beazonosításához. A szoftvert alapvetően a vállalati környezetben való beazonosításhoz ajánlják rendszergazdák számára. Egyéni felhasználók esetén javasolt a gyártó oldalának figyelemmel kísérése a firmware elérhetőségének, illetve telepítésének módjával kapcsolatban.

  • https://downloadcenter.intel.com/download/27150

A Dell esetében az alábbi oldalakon követhető a szerver, illetve kliens kategóriájú gépeik vonatkozásában a firmware update elérhetősége:

  • http://www.dell.com/support/article/us/en/19/sln308237/dell-client-statement-on-intel-me-txe-advisory–intel-sa-00086-?lang=en
  • http://www.dell.com/support/article/us/en/19/qna44242/dell-server-statement-on-intel-me-txe-advisory–intel-sa-00086-?lang=en

A Lenovo termékei esetén az alábbi oldalról érhetőek el a frissítéssel kapcsolatos információk:

  • https://support.lenovo.com/hu/hu/product_security/len-17297

Támadás típusa

Memory Corruption
Privilege escalation (jogosultság kiterjesztés)
execute arbitrary code

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: security-center.intel.com
Egyéb referencia: arstechnica.com
Egyéb referencia: www.heise.de
CVE-2017-5705 - NVD CVE-2017-5705
CVE-2017-5706 - NVD CVE-2017-5706
CVE-2017-5707 - NVD CVE-2017-5707
CVE-2017-5708 - NVD CVE-2017-5708
CVE-2017-5709 - NVD CVE-2017-5709
CVE-2017-5710 - NVD CVE-2017-5710
CVE-2017-5711 - NVD CVE-2017-5711
CVE-2017-5712 - NVD CVE-2017-5712

Legfrissebb sérülékenységek
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység
CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység
CVE-2025-14847 – MongoDB and MongoDB Server Improper Handling of Length Parameter Inconsistency sérülékenység
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
Tovább a sérülékenységekhez »