BIOS 漏洞,2024 年 9 月
Supermicro已知BIOS固件中存在两个潜在漏洞。这些漏洞可能允许攻击者写入SMRAM并劫持RIP/EIP。它们影响Denverton平台的Supermicro BIOS。
致谢:
Supermicro谨此感谢来自中国的研究员Eason,他发现了Supermicro BIOS固件中的潜在漏洞。
CVE:
| CVE编号 | 说明 |
|---|---|
| 英特尔某些处理器的BIOS平台示例代码中存在不当条件检查,可能允许特权用户通过本地访问实现权限提升。具备特权访问权限的攻击者可利用此漏洞写入SMRAM,从而劫持RIP/EIP寄存器。 | |
| 具有特权访问权限的攻击者可利用此漏洞向SMRAM写入数据并劫持RIP/EIP指令,从而在SMM模式下执行任意代码。这将使攻击者能够将存储在SMRAM中的内容泄露至内核空间。 |
受影响产品:
| 产品/主板 | 包含修复程序的BIOS版本 |
|---|---|
| A2SDi-H-T(P4)F | v 2.1 |
| A2SDi-HLN4F | v 2.1 |
| A2SDi-TP8F/LN4F | v 2.1 |
| A2SDV-LN8F/LN10PF | v 2.1 |
| A2SDV-TLN5F | v 2.1 |
| A2SD1-3750F/3955F | v 2.1 |
缓解措施:
Supermicro已发布BIOS固件以缓解这些漏洞。请查阅发行说明以获取解决方案。
开发与公告:
Supermicro 尚未发现本公告中描述的漏洞有任何公开披露或恶意利用。