所有分类 > 设备应用 > 部件参数 > 安全公告:LEN-27714 多供应商 BIOS 安全漏洞

安全公告:LEN-27714 多供应商 BIOS 安全漏洞

. 1574757065 | 知识编号: 185892

故障现象:

Lenovo 安全公告:LEN-27714


潜在影响:权限提升、拒绝服务、信息泄露


严重性


影响范围:全行业


CVE ID:CVE-2019-0117、CVE-2019-0123、CVE-2019-0124、CVE-2019-0151、CVE-2019-0152、CVE-2019-0154、CVE-2019-0184、CVE-2019-0185、CVE-2019-6170、CVE-2019-6172、CVE-2019-6174、CVE-2019-6188、CVE-2019-11135、CVE-2019-11136、CVE-2019-11137、CVE-2019-11139、CVE-2019-18279


摘要描述:


Lenovo 尽量将多个 BIOS 安全修复程序和增强整合到尽可能少的更新中。以下漏洞列表来自供应商和研究人员的报告或我们在常规内部测试中的发现。并非所有在本公告“产品影响”部分中列出的产品都受本摘要中的所有 CVE 的影响。


AMI 发布了 AMI Aptio V BIOS 安全增强。未提供 CVE。


Intel 报告了包含 Intel Processor Graphics 的 Intel SGX 处理器在对受保护内存的访问控制中存在一个潜在安全漏洞,可能导致信息泄露。INTEL-SA-00219:CVE-2019-0117


Intel 报告了第 6 代及以上 Intel Core™ 处理器中存在潜在安全漏洞,可能造成信息泄露。INTEL-SA-00220:CVE-2018-0123、CVE-2019-0124


Intel 报告了 Intel Core 和 Intel Xeon 处理器存在潜在安全漏洞,可能导致提升权限、拒绝服务或信息泄露。INTEL-SA-00240:CVE-2019-0151、CVE-2019-0152


Intel 报告了 Intel Processor Graphics 中存在一个潜在安全漏洞,可能导致拒绝服务。(INTEL-SA-00242 和 INTEL-SA-260:CVE-2019-0154)


Intel 报告了具有 Intel Processor Graphics 的 Intel Trusted Execution Technology 中存在一个潜在安全漏洞,可能导致信息泄露。INTEL-SA-00164:CVE-2019-0184


Intel 报告了具有 Intel Processor Graphics 的 Intel System Management Mode 中存在一个潜在安全漏洞,可能导致信息泄露。INTEL-SA-00254:CVE-2019-0185


Intel 报告了某些使用推测执行的 Intel 微处理器上存在 TSX 异步中止(TAA)条件,可能允许经过认证的用户潜在地通过具有本地访问权限的侧信道造成信息泄露。INTEL-SA-00270:CVE-2019-11135


Intel 报告了 Intel 固件中存在一个潜在安全漏洞,可能导致权限提升、拒绝服务或信息泄露。INTEL-SA-00280:CVE-2019-11136、CVE-2019-11137


Intel 报告了某些 Intel Xeon 可扩展处理器 CPU 中存在一个潜在安全漏洞,可能导致拒绝服务。INTEL-SA-00271:CVE-2019-11139


Lenovo ThinkPad T460p/T470p 中未触发 BIOS 篡改检测机制,可能允许未经授权的访问。CVE-2019-6188


在某些情况下,某些 Lenovo ThinkPad 中存在的一个潜在漏洞可能允许攻击者在 SMM 下执行任意代码。CVE-2019-6170


在某些 Lenovo ThinkPad 型号中,SMI 回调函数中的一个潜在漏洞可能允许执行任意代码。CVE-2019-6172


Phoenix 发布了用于 Phoenix BIOS Update Utility 的 Window 驱动程序安全增强。CVE-2019-18279


解决方案:

应采取哪些措施进行自我保护:


将系统固件升级到以下“产品影响”部分中针对您的产品型号列出的版本(或更高版本)。


产品影响:


请单击了解更多信息。


台式机


台式一体机


IdeaPad


Storage


System x - Lenovo


System x(IBM)


ThinkPad


ThinkServer


ThinkStation


ThinkSystem


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。