11月22日消息���,據(jù)《財富》雜志報道��,英特爾本周承認(rèn)����,近年來它出售的幾乎所有PC芯片都存在多個嚴(yán)重的軟件安全缺陷��。
安全漏洞主要集中在英特爾CPU上的“管理引擎”功能上�,如其全新的第8代核心處理器系列�。英特爾表示��,已經(jīng)開發(fā)了軟件補(bǔ)丁來消除這些問題����,但只列出了一家制造商 - 聯(lián)想����,這為客戶實際更新計算機(jī)創(chuàng)造了一條途徑���。雖然其他一些個人電腦制造商在自己的網(wǎng)站上列出了修補(bǔ)程序�,但一些易受攻擊的芯片卻存在于智能互聯(lián)設(shè)備(所謂的物聯(lián)網(wǎng)的一部分)中,可能永遠(yuǎn)不會更新��。星期二晚些時候,英特爾為戴爾的客戶和自己的硬件產(chǎn)品增加了修復(fù)鏈接。
“針對外部研究人員發(fā)現(xiàn)的問題,英特爾對我們的英特爾管理引擎(ME)����,英特爾服務(wù)器平臺服務(wù)(SPS)和英特爾可信執(zhí)行引擎(TXE)進(jìn)行了深入全面的安全審查����,目的是增強(qiáng)固件韌性“����,該公司在11月20日發(fā)布在其網(wǎng)站上的公告中稱�����。”因此���,英特爾已經(jīng)發(fā)現(xiàn)了可能使受影響平臺面臨風(fēng)險的安全漏洞����。“
英特爾表示��,這些問題包括允許黑客加載和運行未經(jīng)授權(quán)的程序�����,破壞系統(tǒng)或者冒充系統(tǒng)安全檢查�。在許多情況下,黑客都需要物理訪問PC才能利用這些漏洞�,但并非全部如此。幾乎所有主流芯片都存在缺陷�����,包括2015年推出的老款第六代Core芯片��,以及去年上市的第七代芯片����。
英特爾表示,客戶應(yīng)該尋求他們的PC制造商的修復(fù)�。
該公司在向《財富》發(fā)表聲明時說:“我們與設(shè)備制造商就解決這些漏洞的固件和軟件更新進(jìn)行了合作�����,這些更新現(xiàn)在已經(jīng)可用�����。 “使用包含這些英特爾產(chǎn)品的計算機(jī)或設(shè)備的企業(yè)�����,系統(tǒng)管理員和系統(tǒng)所有者應(yīng)該向其設(shè)備制造商或供應(yīng)商查詢其系統(tǒng)的更新����,并盡快應(yīng)用任何適用的更新���。”
盡管英特爾的芯片旨在讓用戶決定運行哪些程序�,但微處理器還內(nèi)置了幾種軟件來提供某些功能�。管理引擎旨在在計算機(jī)啟動時提供安全性等功能,并運行一個名為Minix的較早版本的操作系統(tǒng)。最近�����,研究人員利用這個軟件���,設(shè)法欺騙英特爾芯片運行惡意代碼�。
一些使用英特爾芯片的大型科技公司,如谷歌�����,已經(jīng)談到他們打算如何禁用管理引擎作為消除其安全漏洞的一種方式�。
英特爾在公告中還表示感謝來自Positive Technologies Research的Mark Ermolov和Maxim Goryachy幫助發(fā)現(xiàn)這些漏洞�。
Goryachy說����,研究人員將在即將到來的黑帽歐洲會議上提供他們發(fā)現(xiàn)的更多細(xì)節(jié)。他說,這些缺陷的深層次地位尤其令人擔(dān)憂,但是對英特爾的回應(yīng)表示贊賞。
Goryachy說:“鑒于這種特權(quán)級別的訪問�,一個有惡意的黑客也可以利用它來攻擊一個低于傳統(tǒng)的基于軟件的對抗措施(如防病毒)的目標(biāo)�。 “我們與英特爾密切合作���,確保負(fù)責(zé)任的披露����,公司一直非常積極地開發(fā)一種工具�,幫助人們檢測系統(tǒng)是否脆弱。”
京公網(wǎng)安備 11010502041587號