Zum Patch Tuesday hat Intel sechs Security Advisories zu verschiedenen Produkten veröffentlicht. Wie bereits im März stehen wieder wichtige Firmware-Updates für einige NUC-Modelle bereit. Updates gibt es außerdem für verschiedene PROSet/Wireless WiFi-Produkte sowie für den Driver and Support Assistant (DSA).
Die übrigen Advisories kündigen zudem das Supportende für das Modular Server MFS2600KISPP Compute Module, für die Data Migration Software sowie für das Binary Configuration Tool für Windows an. Dies ist insofern wichtig, als dass die genannten Produkte (bei der Software versionsabhängig) Sicherheitslücken aufweisen, die nicht mehr gefixt werden.
Nutzer aller genannten Produkte sollten gegebenenfalls die verfügbaren Updates installieren beziehungsweise Intels Hinweise in den Advisories beachten.
Hardware-Fixes für ME-Bug CVE-2019-0090 geplant
Im Blogeintrag zum April-Patchday weist Intel auch auf ein neu erschienenes 15-seitiges Whitepaper hin, das sich mit der bereits seit Mai 2019 bekannten Sicherheitslücke CVE-2019-0090 in der sogenannten Management Engine (ME) von Intel-Chips befasst. Wir haben die Lücke im März 2020 ausführlich bei heise Security thematisiert.
Dem neu erschienenen Whitepaper, in dem Intel unter anderem seine Pläne neuen Hardware-Fixes erläutert und betroffene/nicht betroffene Prozessoren nennt, haben wir eine separate ausführliche Meldung gewidmet.
NUC-Firmware-Updates
Die Lücke mit der höchsten Risikoeinstufung findet sich im April im NUC Firmware Advisory INTEL-SA-00363, das sich der Sicherheitslücke CVE-2020-0600 mit dem CVSS-Score 7.8 von 10 (High) widmet. Die Lücke könnte von lokalen, authentifizierten Angreifern zur Rechteausweitung missbraucht werden.
Betroffen sind folgende Modelle (das jeweilige Firmware-Update haben wir verlinkt):
- NUC 8 Rugged Kit NUC8CCHKR
- NUC Board NUC8CCHB
- NUC 7 Essential PC NUC7CJYSAL
- NUC Kit NUC7CJYH
- NUC Kit NUC7PJYH
- NUC Kit NUC6CAYS
- NUC Kit NUC6CAYH
- NUC Kit DE3815TYKHE
- NUC Board DE3815TYBE
- Compute Stick STCK1A32WFC
Wichtige Software-Updates
Das Advisory INTEL-SA-00338 zur PROSet/Wireless WiFi Software behandelt zwei Windows-10-spezifische Lücken mit Medium-Einstufung (6.7 und 4.3) in allen Versionen des PROSet/Wireless WiFi Software-Pakets vor Version 21.70. Intel empfiehlt Windows-10-Nutzern, die Software mindestens auf Version 21.70 zu aktualisieren, sofern sie in Kombination mit folgenden Wireless-Produkten verwendet wird:
- Wi-Fi 6 AX201
- Wi-Fi 6 AX200
- Wireless-AC 9560
- Wireless-AC 9462
- Wireless-AC 9461
- Wireless-AC 9260
- Dual Band Wireless-AC 8265
- Dual Band Wireless-AC 8260
- Dual Band Wireless-AC 3168
- Wireless 7265 (Rev D) Family
Das Update schließt die lokal beziehungsweise aus benachbarten Netzwerken für Rechteausweitung und Denial-of-Service ausnutzbaren Lücken CVE-2020-0557 und CVE-2020-0558.
Mit CVSS 5.9 (Medium) hat Intel die lokal ausnutzbare Lücke CVE-2020-0568 in seinem Advisory zum Driver and Support Assistant INTEL-SA-00344 eingestuft. Auch durch sie lässt sich unter bestimmten Voraussetzungen ein Denial-of-Service-Zustand hervorrufen. Verwundbar sind alle Assistant-Versionen vor 20.1.5.
Die verfügbaren Updates stehen jeweils auf Intels Support-Website zum Download bereit.
Achtung: Supportende für drei verwundbare Produkte
Die übrigen drei Advisories behandeln Sicherheitslücken in Produkten, für die Intel ab sofort den Support einstellt. Somit werden auch die darin aufgeführten, durchweg mit Einstufungen von "Medium" bis "High" versehenen Lücken nicht mehr beseitigt. Intel rät in allen Fällen zur Deinstallation beziehungsweise zum Umstieg auf ein neueres Produkt.
- INTEL-SA-00351: Modular Server Compute Module Advisory zu MFS2600KISPP (max. CVSS-Score 7.1)
- INTEL-SA-00327: Data Migration Software Advisory (max. CVSS-Score 6.7)
- INTEL-SA-00359: Binary Configuration Tool for Windows Advisory (max. CVSS-Score 6.7)
Quelle: Patchday Intel: Frische NUC-Firmware und wichtige Software-Updates | heise online