Vulnérabilités des BIOS, septembre 2024
Supermicro a connaissance de deux vulnérabilités potentielles dans le firmware du BIOS. Ces vulnérabilités peuvent permettre à un attaquant d'écrire dans la SMRAM et de détourner le RIP/EIP. Elles affectent le BIOS de Supermicro pour la plateforme Denverton.
Remerciements :
Supermicro souhaite remercier un chercheur chinois, Eason, pour avoir découvert des vulnérabilités potentielles dans le micrologiciel BIOS de Supermicro .
CVEs :
| Numéro CVE | Description |
|---|---|
| Une mauvaise vérification des conditions dans l'échantillon de code de la plate-forme Intel BIOS pour certains processeurs Intel(R) avant peut permettre à un utilisateur privilégié d'effectuer une escalade des privilèges via un accès local. Un attaquant disposant d'un accès privilégié peut utiliser cette vulnérabilité pour écrire dans la SMRAM et détourner le RIP/EIP. | |
| Un attaquant disposant d'un accès privilégié peut exploiter cette vulnérabilité pour écrire dans la SMRAM et détourner le RIP/EIP ; il peut donc exécuter un code arbitraire en mode SMM. Cela peut permettre à l'attaquant de faire fuir le contenu stocké dans la SMRAM vers l'espace du noyau. |
Produits concernés :
| Produit/Carte mère | Version du BIOS contenant le correctif |
|---|---|
| A2SDi-H-T(P4)F | v 2.1 |
| A2SDi-HLN4F | v 2.1 |
| A2SDi-TP8F/LN4F | v 2.1 |
| A2SDV-LN8F/LN10PF | v 2.1 |
| A2SDV-TLN5F | v 2.1 |
| A2SD1-3750F/3955F | v 2.1 |
Atténuation :
Supermicro a publié un micrologiciel BIOS pour atténuer ces vulnérabilités. Veuillez consulter les notes de mise à jour pour la résolution de ces problèmes.
Exploitation et annonce publique :
Supermicro n'a pas connaissance d'annonces publiques ou d'utilisations malveillantes des vulnérabilités décrites dans cet avis.