BIOS 漏洞,2024 年 9 月
Supermicro BIOS固件中Supermicro 两个潜在漏洞。这些漏洞可能使攻击者能够写入SMRAM并劫持RIP/EIP指令。该Supermicro Denverton平台的Supermicro 。
致谢:
Supermicro 感谢中国研究员Eason在Supermicro 固件潜在漏洞方面所做的工作。
CVE:
| CVE编号 | 说明 |
|---|---|
| 英特尔某些处理器的BIOS平台示例代码中存在不当条件检查,可能允许特权用户通过本地访问实现权限提升。具备特权访问权限的攻击者可利用此漏洞写入SMRAM,从而劫持RIP/EIP寄存器。 | |
| 具有特权访问权限的攻击者可利用此漏洞向SMRAM写入数据并劫持RIP/EIP指令,从而在SMM模式下执行任意代码。这将使攻击者能够将存储在SMRAM中的内容泄露至内核空间。 |
受影响产品:
| 产品/主板 | 包含修复程序的BIOS版本 |
|---|---|
| A2SDi-H-T(P4)F | v 2.1 |
| A2SDi-HLN4F | v 2.1 |
| A2SDi-TP8F/LN4F | v 2.1 |
| A2SDV-LN8F/LN10PF | v 2.1 |
| A2SDV-TLN5F | v 2.1 |
| A2SD1-3750F/3955F | v 2.1 |
缓解措施:
Supermicro 发布BIOS固件以缓解这些漏洞。请查阅发布说明获取解决方案。
开发与公告:
Supermicro 尚未Supermicro 任何关于本公告所述漏洞的公开披露或恶意利用情况。