Zum Patch Tuesday im Februar hat Intel 19 Security Advisories veröffentlicht, die sich mit insgesamt 57 Schwachstellen in verschiedenen Produkten beschäftigen. Neun von ihnen wurden mit "High", 32 mit "Medium" und 16 mit "Low" bewertet; in allen Fällen stehen Sicherheitsupdates bereit.
In einem zusammenfassenden Eintrag zu den Advisories im "Technology@Intel"-Blog weist das Unternehmen darauf hin, dass die verfügbaren Updates diesmal bis auf wenige Ausnahmen durch die Endnutzer direkt von Intel bezogen werden können. Dennoch rät Intel dazu, im Zweifel zunächst zu schauen, ob der jeweilige Hersteller des Systems, in dem die verwundbare Komponente läuft, systemspezifisch angepasste Aktualisierungen anbietet. Hierzu verweist das Unternehmen auf seine OEM-Übersichtsliste.
Schwachstellen mit "High"-Einstufung
Die Schwachstelle mit dem höchsten CVSS-Score (CVE-2020-0544, 8.8) steckt, wie vier weitere "High"-Schwachstellen, in mehreren älteren Grafiktreiber-Versionen für Windows und Linux. Die Schwachstellen sind jeweils ausschließlich lokal und bei vorheriger Identifizierung ausnutzbar und ermöglichen die Ausweitung von Zugriffsrechten. Das Graphics Driver Advisory enthält einen Link zu aktualisierten Treibern für Windows; Linux-Nutzern hingegen wird empfohlen, nach Distributions-spezifischen Updates Ausschau zu halten, die auf CVE-2020-0544, CVE-2020-0521, CVE-2020-12362, CVE-2020-12361 und CVE-2020-24450 abzielen.
Ähnliche Angriffsmöglichkeiten (Rechteausweitung durch authentifizierte Nutzer bei lokalem Zugriff) bieten zwei weitere "High"-Schwachstellen (CVE-2020-12373, CVE-2020-12377, CVSS-Score jeweils 7.5) in BMC Firmware vor Version 2.47 sowie eine in SSD Toolbox (CVE-2020-8701, 7.4). Details und Update-Links nennt Intel in den jeweiligen Advisories zu Server Boards, Server Systems & Compute Modules und zur Toolbox.
Die im XMM 7360 Cell Modem Advisory beschriebene Schwachstelle schließlich (CVE-2020-24482, 7.0) erlaubt einem entfernten, unauthentifizierten Angreifer unter bestimmten Voraussetzungen die Durchführung eines Denial-of-Service-Angriffs. Intel verweist bezüglich Updates in diesem Fall an die jeweiligen OEMs.
Advisories im Überblick
Da fast alle veröffentlichten Advisories Download-Links zu Updates beziehungsweise konkrete Update-Empfehlungen auf aktuelle Versionen enthalten, haben wir nachfolgend auch die übrigen, sortiert nach Bedrohungsgrad, aufgelistet:
- Ethernet I210 Controller Advisory (CVSS 6.7, Medium)
- Extreme Tuning Utility (XTU) (CVSS 6.7, Medium)
- Optane DC Persistent Memory installer for Windows (CVSS 6.7, Medium)
- Quartus Prime Standard & Pro (CVSS 6.7, Medium)
- Server Board Onboard Video Driver for Windows (CVSS 6.7, Medium)
- SOC Driver Package (CVSS 6.7, Medium)
- Trace Analyzer and Collector for STK1A32SC (CVSS 6.7, Medium)
- Collaboration Suite for WebRTC Advisory (CVSS 6.5, Medium)
- Ethernet E810 Adapter Drivers for Linux and Windows (CVSS 6.5, Medium)
- SGX Platform Software fpr Windows (CVSS 6.5, Medium)
- RealSense Depth Camera Manager (DCM) (CVSS 6.3, Medium)
- Ethernet Controllers Advisory (CVSS 6.0, Medium)
- EPID SDK Advisory (CVSS 5.6, Medium)
- PROSet/Wireless WiFi and Killer Driver (CVSS 4.8, Medium)
- Software Guard Extensions (SGX) (CVSS 4.0, Medium)