Vulnérabilités des BIOS, septembre 2024
Supermicro connaissance de deux vulnérabilités potentielles dans le micrologiciel BIOS. Ces vulnérabilités pourraient permettre à un pirate informatique d'écrire dans la mémoire SMRAM et de détourner les adresses RIP/EIP. Elles affectent Supermicro pour la plateforme Denverton.
Remerciements :
Supermicro à saluer le travail accompli par Eason, un chercheur chinois, qui a découvert des vulnérabilités potentielles dans le micrologiciel Supermicro .
CVEs :
| Numéro CVE | Description |
|---|---|
| Une mauvaise vérification des conditions dans l'échantillon de code de la plate-forme Intel BIOS pour certains processeurs Intel(R) avant peut permettre à un utilisateur privilégié d'effectuer une escalade des privilèges via un accès local. Un attaquant disposant d'un accès privilégié peut utiliser cette vulnérabilité pour écrire dans la SMRAM et détourner le RIP/EIP. | |
| Un attaquant disposant d'un accès privilégié peut exploiter cette vulnérabilité pour écrire dans la SMRAM et détourner le RIP/EIP ; il peut donc exécuter un code arbitraire en mode SMM. Cela peut permettre à l'attaquant de faire fuir le contenu stocké dans la SMRAM vers l'espace du noyau. |
Produits concernés :
| Produit/Carte mère | Version du BIOS contenant le correctif |
|---|---|
| A2SDi-H-T(P4)F | v 2.1 |
| A2SDi-HLN4F | v 2.1 |
| A2SDi-TP8F/LN4F | v 2.1 |
| A2SDV-LN8F/LN10PF | v 2.1 |
| A2SDV-TLN5F | v 2.1 |
| A2SD1-3750F/3955F | v 2.1 |
Atténuation :
Supermicro publié un micrologiciel BIOS afin d'atténuer ces vulnérabilités. Veuillez consulter les notes de mise à jour pour connaître la solution.
Exploitation et annonce publique :
Supermicro connaissance d'aucune annonce publique ni d'aucune utilisation malveillante des vulnérabilités décrites dans cet avis.