科技新闻-Intel 韧体漏洞问题,引发近年最大资安危机

2017-11-28 10:32 未知
       (科技新闻综合报道) 我们常听说某某系统出现漏洞与安全性问题,但其实处理器韧体或是驱动程式这种人类撰写的软体程式其实也是有机会出现安全性漏洞的。最近Intel 就发现一个大包,近年出售的处理器中,因为韧体方面有安全性问题,因此会影响到安装这些处理​​器的电脑上。而这个问题影响有多大呢?对一般的玩家而言,最有关连的就是第6、7、8世代Core 处理器,以及Xeon E3 V5 与V6 处理器,相信市面上大部分的新电脑应该都因为Intel 韧体漏洞问题中奖了,除非这下用的是AMD 处理器:
科技新闻-Intel 韧体漏洞问题,引发近年最大资安危机
       ▲Intel被爆出近年最大的资安危机,源头竟然是CPU韧体。(图片来源)

       这个问题并不是CPU 本身有什么缺陷,因为问题是出在处理器韧体上,也就师一些人重灌时常常看到的Intel ME、Intel SPS 跟Intel TXT 这些东西。确切的说,这些韧体在正式进入系统前,会执行一个叫做管理引擎(即Intel ME,Intel Management Engine)的玩意,这个玩意内部有个迷你系统Minix,这个系统能够保证系统开机期间的安全,但糟糕的是,这个管理引擎却出现了漏洞,以至于恶意程式可能透过这个漏洞在系统开机时攻击到系统,致使系统故障:
科技新闻-Intel 韧体漏洞问题,引发近年最大资安危机
     ▲近期的Intel CPU均使用Minix系统作为韧体的一部分,但没想到漏洞竟是出自这,而且还牵连三个世代的处理器(图片来源)
    
        更严重的是,Minix系统位在开机之前,权限也比作业系统高,所以作业系统无法控制Minix ,但Minix掌控了软硬体两方面的资讯,权限更高。这个部分可以说是电脑中真正的核心,就算装了防毒软体,这个位置一被攻破,电脑控制权就整个换手。

        过去曾有许多安全专家质疑Intel的Minix并不安全,但Intel在事件被报导出来后才出面回应。至于官方的回应内容,不外乎是开发了新版本的更新来消除问题,但在官方声明中,目前仅有Dell与Lenovo会有软体更新解决问题,至于其他公司目前正在陆陆续续推出BIOS与软体的更新。可以说这次事件紧急,不是每一家公司都同时在更新这些有问题的韧体,但这次事件之大,除了研发团队比较弱的公司以外,相信应该没有主机板公司或电脑公司会错过这次的更新,但主动告知使用者要更新的公司可能并不多:
科技新闻-Intel 韧体漏洞问题,引发近年最大资安危机
       ▲Minix系统可以视为主机最底层的防线,虽然一般不会存取到这个程度(图片来源)

       加上有些IoT装置使用的是Intel的Atom晶片,这些晶片也因为这次的韧体问题受到影响,但IoT装置欠缺线上更新的机制,也不太可能自行更新,这些都会成为潜在的安全问题。

       Intel认为,这个漏洞可以让攻击者执行未经授权的程式,让系统故障,或是被伪装成系统安全功能而蒙混过去。不过,骇客在多数情况下仍然需要在电脑旁边,才能利用这个漏洞攻击,因为Minix权限虽大,却并未连网。

       目前这个漏洞的影响范围相当大,除了消费级处理器,对于工作站、伺服器处理器也有一定程度的影响,因此不只是消费级产品,就连商用主机、伺服器都必须在第一时间内更新韧体,才能减少风险,避免不必要的资安问题。

       更多的手机热点资讯请关注外城 网 责任编辑:Fanny
::before