Корпорация Intel обнаружила две уязвимости высокой степени серьезности, влияющие на прошивку BIOS в нескольких семействах процессоров, обе уязвимости получили оценку CVSS v3 8,2 (высокая опасность).
Уязвимости, обозначаемые как CVE-2021-0157 и CVE-2021-0158, были обнаружены исследователями SentinelOne и могут быть использованы злоумышленниками, имеющими физический доступ к устройству. Уязвимость CVE-2021-0157 потенциально позволяет повысить привилегию пользователя. CVE-2021-0158 – это неправильная проверка ввода в BIOS для некоторых процессоров Intel (R).
В список процессоров, которые подвержены найденным уязвимостям вошли следующие процессоры:
- Intel Xeon E;
- Intel Xeon E3 v6;
- Intel Xeon W;
- Intel Xeon Scalable 3-го поколения;
- Intel Core 11-го поколения;
- Intel Core 10-го поколения;
- Intel Core 7-го поколения;
- Intel Core X;
- Intel Celeron N;
- Intel Pentium Silver.
Также Intel сообщила о третьей уязвимости под названием CVE-2021-0146, которая затрагивает решения для автомобилей и встраиваемых систем. Уязвимость также позволяет повышать привилегии и обладает высокой степенью опасности – CVSS 7,2.
По словам Марка Ермолова, обнаружившего эксплойт, злоумышленники могут использовать CVE-2021-0146 для извлечения ключа шифрования и доступа к конфиденциальной зашифрованной информации на потерянном или украденном ноутбуке. В основном данной уязвимости подвержены мобильные процессоры семейств Pentium, Celeron и Atom.
Технические подробности об уязвимостях пока не раскрываются. Intel уже выпустила соответствующие исправления, и рекомендует обновить устройства, базирующиеся на вышеперечисленных процессорах до последней версии как можно скорее.
