英特爾本週承認,近年來它出售的幾乎所有PC處理器都存在多個嚴重的安全缺陷。這些安全漏洞主要集中在英特爾CPU上的「管理引擎」Intel Management Engine (ME)功能上,這個管理引擎存在多數的處理器晶片中,包括其全新的第8代核心處理器系列。
英特爾的「管理引擎」是設計用來讓電腦在啟動的時候,在進入真正的作業系統之前,會先執行一個「Minix」迷你系統,這個作用是用來保護這段期間系統的安全。諷刺的是,現在英特爾則發現因為這個管理引擎的漏洞,導致系統可能被利用來攻擊電腦。
而且,由於這個管理引擎的系統核心運作等級的權限比你的作業系統還高,它又可以控制電腦完整的檔案系統、驅動程式,甚至這個迷你系統還有自己的網頁伺服器,而且就算是當你的Windows系統在執行的時候,這個迷你系統也還在同時運作,因此就算你的Windows系統安裝了防毒軟體,如果一但被人控制了這個迷你系統,你根本沒辦法抵抗。
這個迷你系統的安全性之前就被許多安全專家提出質疑,不過在本週英特爾算是正式做出回應。英特爾表示,他們已經開發了軟體更新可以來消除這些問題,但是在它們的聲明中,實際上只有兩家廠商,聯想、Dell,有採用軟體更新的方式,來為客戶提供更新。至於其它大多數的廠商,則是在官網上提供了修正檔案,讓客戶自行下載(假如客戶知道的話)。
此外,不只是電腦廠商會用到英特爾的處理器晶片,還有一些IoT裝置,這些裝置可能永遠都不會有機會安裝更新檔案,而且特別容易受到攻擊。
英特爾表示,這個漏洞可以讓駭客在載入並且執行未經授權的程式、讓系統崩潰或者偽裝成系統安全檢查。不過,在大多數的情況下(但並非絕對),駭客還是需要在電腦旁邊才能利用這個漏洞。這個漏洞在Intel近年來販售的許多主流晶片中都存在,包括2015年推出最老的第六代Core處理器、以及去年推出的第七代處理器,最新的第八代處理器也不例外。
英特爾表示,消費者應該要向他們的PC製造商尋求更新程式,英特爾表示「我們與設備製造商在韌體以及軟體更新上合作,針對這些漏洞進行了修補,而這些更新現在已經可以取得了。」
- 新聞來源:fortune
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!