【猎云网(微信号:ilieyun)】11月22日报道 (编译:小白)
英特尔本周承认,近年来其出售的几乎所有的PC芯片都存在多个严重的软件安全漏洞。
安全漏洞主要集中在英特尔CPU中被称为“管理引擎”的功能上,比如其全新的第八代核心处理器系列。英特尔表示,公司已经开发了软件补丁来消除这些问题,但同时也指出,仅有一家制造商——即联想——为客户更新电脑上的安全问题提供了实际方案。虽然其他一些PC制造商也在各自网站上列出了修补程序,仍有不少智能互联设备(物联网的一部分)上存在易受攻击的芯片,并且可能永远得不到更新。最近进展:周二晚些时候,英特尔为戴尔的客户和其自身的硬件产品增加了修补链接。
“针对外部研究人员发现的问题,英特尔已对我们自己的英特尔管理引擎(ME)、英特尔服务器平台服务(SPS)和英特尔可信执行引擎(TXE),展开了深度全面的安全检查,旨在增强固件韧性,”公司在11月20日发布的网站公告中说道,“因此,英特尔发现上述功能或服务中存在一些安全隐患,可能导致受影响的平台面临风险。”
英特尔表示,这些问题包括允许黑客加载并运行未经授权的程序,破坏系统或冒充系统安全检查等。在多数情况,但并非所有情况下,黑客需求物理访问一台PC才能够利用这些漏洞。英特尔近年来出售的几乎所有主流芯片上都存在这些缺陷,包括2015年推出的比较老的第六代核心芯片,以及去年上市的第七代芯片。
英特尔表示,客户应该向他们的PC制造商寻求问题修补方法。公司在给外媒的一份声明中解释道:“就解决这些漏洞问题,我们已经与设备制造商针对固件和软件的更新进行了合作,并且更新现在已经可用。使用包含这些英特尔产品的计算机与设备的企业、系统管理员和系统拥有者,应及时与他们的设备制造商或零售商联系获得系统的更新,并及时安装应用这些更新。”
尽管英特尔的芯片设计初衷是让用户决定运行哪一个程序,这些微处理器内还内置了多种软件以提供某些特定功能。比如,管理引擎旨在在计算机启动时提供包括安全性在内的多种功能。该管理引擎运行着一个较老版本的操作系统——Minix。最近,研究人员正是通过利用该软件,成功欺骗了英特尔的芯片来运行恶意代码。
一些使用英特尔芯片的大型科技公司(如谷歌等),已经开始讨论他们将如何计划禁用管理引擎以避免安全问题。
英特尔还在其公告中表达了对两名来自Positive Technologies Research的研究人员——Mark Ermolov和Maxim Goryachy的感谢,感谢他们发现了这些漏洞。
Goryachy说,研究人员将在即将到来的黑帽子欧洲会议上提供更多研究细节。他补充说,这些漏洞的隐患之深着实令人担忧,但英特尔的回应值得赞许。
“考虑到这种特权级别的访问,带有恶意攻击的黑客也可以利用它来攻击未受到传统基于软件的对抗措施比如杀毒软件保护的目标,”Goryachy说,“我们正与英特尔密切合作,以确保所有可靠披露。并且,公司也在积极开发工具来帮助人们检测他们的系统是否易受到攻击。”