BIOS 漏洞,2024 年 9 月
Supermicro 已知BIOS固件中存在两个潜在漏洞。这些漏洞可能允许攻击者写入SMRAM并劫持RIP/EIP。它们会影响Supermicro Denverton平台的BIOS。
致谢:
Supermicro 谨此感谢来自中国的研究员伊森(Eason)所做的工作,他发现了潜在的漏洞。 Supermicro BIOS固件。
CVE:
| CVE编号 | 说明 |
|---|---|
| 某些 Intel® 处理器的 Intel BIOS 平台示例代码中存在不恰当的条件检查,可能允许特权用户通过本地访问提升权限。拥有特权访问权限的攻击者可以利用此漏洞写入 SMRAM 并劫持 RIP/EIP。 | |
| 拥有特权访问权限的攻击者可以利用此漏洞写入SMRAM并劫持RIP/EIP;因此,他们可以在SMM模式下执行任意代码。这可能使攻击者能够将存储在SMRAM中的内容泄露到内核空间。 |
受影响产品:
| 产品/主板 | 包含修复程序的 BIOS 版本 |
|---|---|
| A2SDi-HT(P4)F | v 2.1 |
| A2SDi-HLN4F | v 2.1 |
| A2SDi-TP8F/LN4F | v 2.1 |
| A2SDV-LN8F/LN10PF | v 2.1 |
| A2SDV-TLN5F | v 2.1 |
| A2SD1-3750F/3955F | v 2.1 |
减轻:
Supermicro 已发布 BIOS 固件以缓解这些漏洞。请查看发布说明以了解解决方案。
剥削与公开声明:
Supermicro 目前尚未发现任何公开声明或恶意利用本公告中所述漏洞的情况。