СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.04.2023
#Dev#ИБ

Уязвимость BDU:2023-02230

Уязвимость BDU:2023-02230

Идентификатор: BDU:2023-02230.

Наименование уязвимости: Уязвимость компонента ChipsetSvcSmm фреймворка для создания UEFI-прошивок InsydeH2O, позволяющая нарушителю вызвать повреждение памяти.

Описание уязвимости: Уязвимость компонента ChipsetSvcSmm фреймворка для создания UEFI-прошивок InsydeH2O связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать повреждение памяти
Уязвимое ПО: Прикладное ПО информационных систем Insyde InsydeH2O 5.44.45.0028 | Прикладное ПО информационных систем Insyde InsydeH2O 5.44.45.0015 | Прикладное ПО информационных систем Insyde InsydeH2O 5.44.34.0054 | Прикладное ПО информационных систем Insyde InsydeH2O 5.42.52.0026 | Прикладное ПО информационных систем Insyde InsydeH2O 5.43.12.0056 | Прикладное ПО информационных систем Insyde InsydeH2O 5.43.01.0026 | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O — | Прикладное ПО информационных систем Insyde InsydeH2O 5.44.23.0047 | Прикладное ПО информационных систем Insyde InsydeH2O — |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.04.2023.
CVSS 2.0: AV:L/AC:L/Au:N/C:P/I:C/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,9)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://www.insyde.com/security-pledge/SA-2023020.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-22614.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://research.nccgroup.com/2023/04/11/stepping-insyde-system-management-mode/
https://www.insyde.com/security-pledge
https://www.insyde.com/security-pledge/SA-2023020

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: