Intel исправила уязвимости в Easy Streaming Wizard и ЦП серверного класса

Компания Intel выпустила два исправления для уязвимостей в своих аппаратных и программных продуктах, позволяющих повысить привилегии на системе и похитить информацию.

Первая уязвимость затрагивает версии инструмента Intel Easy Streaming Wizard до 2.1.0731. Этот инструмент предназначен для упрощения процесса настройки стримингового ПО Open Broadcaster Software и часто используется стримерами в Twitch и YouTube.

Уязвимость обнаружил исследователь безопасности Картикеян Селварадж (Karthikeyan Selvaraj). Проблема получила идентификатор CVE-2019-11166 и оценку в 5,7 балла, поскольку позволяет повысить привилегии на системе с помощью локальной атаки.

Уязвимость существует из-за предоставляемых файлам ненадлежащих разрешений в установщике Intel Easy Streaming Wizard. Для осуществления атаки злоумышленнику сначала нужно получить локальный доступ к системе. Участие пользователя не требуется.

Во избежание возможной эксплуатации уязвимости злоумышленниками пользователям рекомендуется обновить Intel Easy Streaming Wizard до версии 2.1.0731 или более поздней.

Помимо CVE-2019-11166, Intel также исправила уязвимость CVE-2019-11184, затрагивающую семейства процессоров Intel Xeon E5, E7 и SP с функциями Data Direct I/O (DDIO) и Remote Direct Memory Access (RDMA). Как сообщалось ранее, уязвимость была обнаружена амстердамскими учеными, назвавшими ее NetCAT. С помощью NetCAT специалистам удалось перехватить нажатия клавиш на клавиатуре во время сеанса SSH.

Источник: Securitylab