安全漏洞頻出  Citrix和Intel緊急釋出多項補丁

編譯／高晟鈞

近日Citrix和Intel分別針對旗下的應用程式和產品修復了嚴重的高危漏洞。Citrix針對了Virtual Apps and Desktops以及適用於Windows和Linux 的 Workspace 應用程序中進行修復。

Virtual Apps and Desktopsk的漏洞為CVE-2023-24483，允許攻擊者將Windows訪問權限提升到System等級。該安全缺線影響2212之前的所有版本，以及CU2之前的長期服務版本。另外，Workspace修復了兩項漏洞，分別為CVE-2023024484和CVE-2023024485；前者允許攻擊者將日誌文件寫入他們不具有權限的目錄中，後者則允許他們提升權限。CVE-2023024486也於這個星期在適用於Linux的Workspace應用程序中解決，該錯誤可能允許攻擊者接管其它用戶的會話。

另一方面，Intel也於本周宣布了針對其產品組合中數十個漏洞的更新。

在數10個漏洞中，最嚴重的為編碼CVE-2021-39296的缺陷，它影響了多個Intel平台的BMC和OpenBMC固件。該漏洞於2021年被發現，允許攻擊者使用IPMI信息繞過身分驗證，獲得對BMC的訪問權限。另外Intel也修復和其它與BMC和OpenBMC固件有關的漏洞，包括可能導致拒絕服務（Dos）的讀取問題。

Intel也針對了具有SGX的Xeon微代碼進行更新，以解決CVE-2022-33972，一個可能導致信息洩露的計算錯誤。同時，這家晶片製造商也解決了某些處理器BIOS固件的特權升級缺陷；並且解決了驅動程式支持助手（DSA）及電池壽命診斷工具等軟件的高危漏洞。

Citrix和Intel公司都建議客戶應該盡快進行更新，以避免惡意攻擊者利用漏洞進行攻擊。

資料來源:SecurityWeek、SecurityWeek

瀏覽 405 次