|
【獵云網(微信號:ilieyun)】11月22日報道 (編譯:小白) 英特爾本周承認,近年來其出售的幾乎所有的PC芯片都存在多個嚴重的軟件安全漏洞。 安全漏洞主要集中在英特爾CPU中被稱為“管理引擎”的功能上,比如其全新的第八代核心處理器系列。英特爾表示,公司已經開發了軟件補丁來消除這些問題,但同時也指出,僅有一家制造商——即聯想——為客戶更新電腦上的安全問題提供了實際方案。雖然其他一些PC制造商也在各自網站上列出了修補程序,仍有不少智能互聯設備(物聯網的一部分)上存在易受攻擊的芯片,并且可能永遠得不到更新。最近進展:周二晚些時候,英特爾為戴爾的客戶和其自身的硬件產品增加了修補鏈接。 “針對外部研究人員發現的問題,英特爾已對我們自己的英特爾管理引擎(ME)、英特爾服務器平臺服務(SPS)和英特爾可信執行引擎(TXE),展開了深度全面的安全檢查,旨在增強固件韌性,”公司在11月20日發布的網站公告中說道,“因此,英特爾發現上述功能或服務中存在一些安全隱患,可能導致受影響的平臺面臨風險。” 英特爾表示,這些問題包括允許黑客加載并運行未經授權的程序,破壞系統或冒充系統安全檢查等。在多數情況,但并非所有情況下,黑客需求物理訪問一臺PC才能夠利用這些漏洞。英特爾近年來出售的幾乎所有主流芯片上都存在這些缺陷,包括2015年推出的比較老的第六代核心芯片,以及去年上市的第七代芯片。 英特爾表示,客戶應該向他們的PC制造商尋求問題修補方法。公司在給外媒的一份聲明中解釋道:“就解決這些漏洞問題,我們已經與設備制造商針對固件和軟件的更新進行了合作,并且更新現在已經可用。使用包含這些英特爾產品的計算機與設備的企業、系統管理員和系統擁有者,應及時與他們的設備制造商或零售商聯系獲得系統的更新,并及時安裝應用這些更新。” 盡管英特爾的芯片設計初衷是讓用戶決定運行哪一個程序,這些微處理器內還內置了多種軟件以提供某些特定功能。比如,管理引擎旨在在計算機啟動時提供包括安全性在內的多種功能。該管理引擎運行著一個較老版本的操作系統——Minix。最近,研究人員正是通過利用該軟件,成功欺騙了英特爾的芯片來運行惡意代碼。 一些使用英特爾芯片的大型科技公司(如谷歌等),已經開始討論他們將如何計劃禁用管理引擎以避免安全問題。 英特爾還在其公告中表達了對兩名來自Positive Technologies Research的研究人員——Mark Ermolov和Maxim Goryachy的感謝,感謝他們發現了這些漏洞。 Goryachy說,研究人員將在即將到來的黑帽子歐洲會議上提供更多研究細節。他補充說,這些漏洞的隱患之深著實令人擔憂,但英特爾的回應值得贊許。 “考慮到這種特權級別的訪問,帶有惡意攻擊的黑客也可以利用它來攻擊未受到傳統基于軟件的對抗措施比如殺毒軟件保護的目標,”Goryachy說,“我們正與英特爾密切合作,以確保所有可靠披露。并且,公司也在積極開發工具來幫助人們檢測他們的系統是否易受到攻擊。” |
