[English]Intel hat 2 Patches veröffentlicht, um Schwachstellen in seinen NUC-PCs zu beheben – aber ein Fehler ist nicht behoben worden. Und das Tool Active System Console hat ein Sicherheitsproblem.
Anzeige
Intel NUC Sicherheitshinweis
Intel hat am 8. Oktober 2019 einen Sicherheitshinweis (Security Advisory) INTEL-SA-00296 für seine NUC-Systeme veröffentlicht. Es gibt potenzielle Sschwachstellen in der System-Firmware für Intel® NUC, die eine Eskalation von Privilegien, Denial of Service und Information Disclosure-Schwachstellen ermöglichen können – die als hoch eingestuft werden.
- CVEID: CVE-2019-14569: Beschreibung: Die Beschädigung von Zeigern in der System-Firmware für Intel(R) NUC kann es einem privilegierten Benutzer ermöglichen, die Berechtigung zu erhöhen, den Dienst zu verweigern und/oder Informationen über den lokalen Zugriff offenzulegen. CVSS Base Score: 7.5 High
- CVEID: CVE-2019-14570: Beschreibung: Speicherbeschädigung in der System-Firmware für Intel(R) NUC kann es einem privilegierten Benutzer ermöglichen, die Privilegien zu erhöhen, den Dienst zu verweigern und/oder Informationen über den lokalen Zugriff offenzulegen. CVSS Base Score: 7.5 High
| Betroffene Produkte | Firmware-Update |
| Intel® NUC 8 Mainstream Game Kit | INWHL357 |
| Intel® NUC 8 Mainstream Game Mini Computer | INWHL357 |
| Intel® NUC Board DE3815TYBE (H26998-500 & later) | TY0022 |
| Intel® NUC Kit DE3815TYKHE (H27002-500 & later) | TY0022 |
| Intel® NUC Board DE3815TYBE | TY0067 |
| Intel® NUC Kit DE3815TYKHE | TY0067 |
| Intel® NUC Kit DN2820FYKH | FY0069 |
Intel empfiehlt, dass Benutzer auf die neueste Version aktualisieren. Es gibt auch ein zweites Sicherheits Advisory INTEL-SA-00286 (Intel® Smart Connect Technology for Intel® NUC Advisory):
CVEID: CVE-2019-11167: Beschreibung: Eine unzulässige Dateiberechtigung im Software-Installer für Intel(R) Smart Connect Technology für Intel(R) NUC kann es einem authentifizierten Benutzer ermöglichen, die Berechtigung über den lokalen Zugriff zu erhöhen. CVSS Base Score: 6.3 Medium
Es ist keine Lösung verfügbar. Intel empfiehlt Benutzern der Intel® Smart Connect Technology für Intel® NUC, die Deinstallation oder die Nutzung so schnell wie möglich einzustellen.
Und es gibt noch eine weitere Eskalation der Privileg-Schwachstelle CVE-2019-11120 in Intels Active System Console. Intel hat das Advisory INTEL-SA-00261 veröffentlicht und stuft die Schwachstelle als "medium" ein.
Anzeige
CVEID: CVE-2019-11120: Beschreibung: Eine unzureichende Pfadüberprüfung im Installer für Intel(R) Active System Console vor Version 8.0 Build 24 kann es einem authentifizierten Benutzer ermöglichen, die Eskalation von Berechtigungen über den lokalen Zugriff zu ermöglichen.
Betroffene Produkte: Intel® Active System Console für Intel® Server Boards und Systeme auf Basis des Intel® 62X Chipsatzes vor Version 8.0 Build 24. Intel empfiehlt Benutzern der Intel® Active System Console für Intel® Server Boards und Systeme, die auf Intel® 62X Chipsatz basieren, ein Update auf 8.0 Build 24 oder höher. Bei heise lassen sich noch einige Informationen zum Thema abrufen.
Anzeige
Seit Monaten gab es gar keine Updates mehr für die Intel ME-Firmware .. mh, das ist ja auch schon sehr verwunderlich. Haben die das Ding wohl mal bissl abgesichert?
Die haben ME doch noch nicht einmal vernünftig dokumentiert.
Und dann sollen die das absichern?