BIOS 漏洞,2024年9月
Supermicro BIOS 韌體中存在兩項潛在漏洞。這些漏洞可能使攻擊者得以寫入 SMRAM 並劫持 RIP/EIP。此漏洞影響Supermicro 針對 Denverton 平台所開發的Supermicro 。
鳴謝:
Supermicro 感謝來自中國的資深研究員Eason,其發現了Supermicro 韌體中潛在的漏洞。
CVE:
| CVE編號 | 描述 |
|---|---|
| 英特爾(R)處理器平台的英特爾BIOS範例程式碼中,針對部分處理器的權限檢查機制存在缺陷,可能使具備特權的用戶透過本地存取觸發權限提升。擁有特權存取權的攻擊者可利用此漏洞寫入系統記憶體(SMRAM),進而劫持執行位址(RIP)與指令位址(EIP)。 | |
| 具備特權存取權限的攻擊者可利用此漏洞寫入 SMRAM 並劫持 RIP/EIP,進而能在 SMM 模式下執行任意程式碼。此舉可能使攻擊者將儲存於 SMRAM 的內容洩漏至核心空間。 |
受影響產品:
| 產品/主機板 | 包含修正的BIOS版本 |
|---|---|
| A2SDi-H-T(P4)F | v 2.1 |
| A2SDi-HLN4F | v 2.1 |
| A2SDi-TP8F/LN4F | v 2.1 |
| A2SDV-LN8F/LN10PF | v 2.1 |
| A2SDV-TLN5F | v 2.1 |
| A2SD1-3750F/3955F | v 2.1 |
緩解措施:
Supermicro BIOS 韌體以緩解這些漏洞。請參閱發佈說明以獲取解決方案。
剝削與公開聲明:
Supermicro 任何關於本公告所述漏洞的公開披露或惡意利用行為。