Компания Intel исправила три опасные уязвимости, предоставлявшие локальному атакующему возможность выполнить произвольный код на компьютерах с процессорами Intel Core и Atom.
Все три проблемы связаны с технологией Intel Smart Sound для обработки аудио, речи и голосового взаимодействия с Cortana, Nuance Dragon и Skype. Степень опасности уязвимостей оценена в 7,5 балла по шкале CVSS v3.0.
Первая уязвимость (CVE-2018-3666), затрагивающая драйвер в Intel Smart Sound (до версии 9.21.00.3541), позволяет локальному атакующему выполнить произвольный код с правами администратора посредством переполнения невыгружаемого пула памяти (NonPaged pool overflow).
Вторая уязвимость (CVE-2018-3670) содержится в драйвере, используемом в версиях Intel Smart Sound, предшествующих 9.21.00.3541. Как и в предыдущем случае, злоумышленник с локальным доступом может выполнить произвольный код с правами администратора путем переполнения буфера.
Третья уязвимость (CVE-2018-3672) затрагивает версии Intel Smart Sound до 9.21.00.3541. Согласно предупреждению производителя, воспользовавшись уязвимостью в драйвере, локальный атакующий может выполнить произвольный код с правами администратора через системные запросы.
Вышеуказанные проблемы исправлены в версии Intel Smart Sound 9.21.00.3541.
Источник: securitylab.ru
