Threat Post報道，英特爾已經(jīng)發(fā)布了29個安全警告，解決英特爾芯片BIOS的固件、藍(lán)牙產(chǎn)品、主動管理技術(shù)工具、NUC迷你PC，以及有諷刺意義的英特爾自家安全庫中的關(guān)鍵漏洞。評級較高的警告集中在CPU特權(quán)升級固件漏洞上：這對于修補(bǔ)和利用而言都很困難，但影響廣泛，因此對聰明的攻擊者很有吸引力。

[[405153]]

英特爾的高級通信主管杰里·布萊恩特(Jerry Bryant)在周三的一篇博文中說，該公司基本上在內(nèi)部挖掘出了95%的安全問題，其中一些部分來自其漏洞賞金計劃和內(nèi)部研究。

盡管漏洞賞金計劃只占本月安全漏洞的一小部分，但到目前為止，這比2021年的正常情況要多。Chipzilla的內(nèi)部安全團(tuán)隊發(fā)現(xiàn)了所處理的132個潛在漏洞中的75%，其中70%在公開披露之前就已修復(fù)。

本月的補(bǔ)丁集包含對各種問題的修復(fù)，其中幾個被評為高嚴(yán)重性--包括產(chǎn)品的固件CPU中的4個本地權(quán)限升級漏洞;英特爾定向I/O虛擬化技術(shù)(VT-d)中的另一個本地權(quán)限升級漏洞;以及英特爾安全庫中的一個可網(wǎng)絡(luò)利用的權(quán)限升級漏洞。

英特爾的公告中還包括一個針對BlueZ的中等嚴(yán)重性漏洞的補(bǔ)丁，BlueZ是一個藍(lán)牙軟件堆棧，允許對所謂的安全藍(lán)牙和藍(lán)牙低能量(BLE)連接進(jìn)行中間人式攻擊。另一個影響英特爾CPU的中等嚴(yán)重性漏洞允許通過可觀察到的浮點(diǎn)響應(yīng)差異進(jìn)行本地可利用的信息泄露。

對于系統(tǒng)管理員而言應(yīng)修補(bǔ)系統(tǒng)的主板管理控制器(BMC)中的一組高威脅漏洞，它允許在2019年底發(fā)布的英特爾服務(wù)器主板M10JNP2SB系統(tǒng)中進(jìn)行權(quán)限升級和拒絕服務(wù)攻擊。

更多細(xì)節(jié)請參與英特爾最新一期安全公告：

https://www.intel.com/content/www/us/en/security-center/default.html