這是自2011年英特爾缺陷門事件后，ME的遠(yuǎn)程管理功能再一次招禍。Jo8esmc

這次漏洞首先是被俄羅斯固件研究人員 Maxim Goryachy和MarkErmolov兩人發(fā)現(xiàn)，他們將于下個(gè)月在 Black Hat Europe發(fā)布更詳細(xì)的調(diào)查結(jié)果。Google安全研究員 MatthewGarrett在Twitter上評(píng)論稱，“基于目前公開消息，我們還未明確這件事情的嚴(yán)重性。也有可能是無害的，也可能是一次打的交易”，他之后又補(bǔ)充：“但同樣，我也得不出任何結(jié)果這件事情是無害的”。Jo8esmc

英特爾在周一的安全公告中，列出了此次ME中的新漏洞，以及遠(yuǎn)程服務(wù)器管理工具 Server Platform Services和 Intel硬件驗(yàn)證工具 Trusted Execution Engine中的漏洞。同樣，英特爾還發(fā)布了一個(gè)檢測(cè)工具，以便 Windows和Linux管理員可以查看他們的系統(tǒng)是否暴露。Jo8esmc

這些安全漏洞主要存在于英特爾CPU上的“管理引擎”功能，例如其全新第八代酷睿處理器系列。英特爾表示，已經(jīng)開發(fā)軟件補(bǔ)丁來修復(fù)問題，但表示只有一家PC廠商設(shè)法幫助用戶進(jìn)行升級(jí)，那就是聯(lián)想。雖然其他一些PC廠商在他們的官網(wǎng)上公布了修復(fù)措施，但一些受影響的芯片用在了智能聯(lián)網(wǎng)設(shè)備上，可能從未進(jìn)行過升級(jí)。Jo8esmc

周二晚些時(shí)候，英特爾在官網(wǎng)貼出了面向戴爾電腦和其自家硬件產(chǎn)品的漏洞修復(fù)鏈接。Jo8esmc

與之前 ME出現(xiàn)的漏洞一樣，幾乎所有最近出廠的 Intel芯片都受到了影響，包括服務(wù)器、PC和物聯(lián)網(wǎng)設(shè)備設(shè)備等。英特爾表示，已經(jīng)開發(fā)軟件補(bǔ)丁來修復(fù)問題，但實(shí)際上客戶需要等到相應(yīng)的硬件廠商推出修補(bǔ)程序，才能下載更新布丁，這使得問題更為復(fù)雜。但直到目前，PC廠商中只有聯(lián)想一家提供了固件更新。Jo8esmc

“為了回應(yīng)外部研究人員發(fā)現(xiàn)的問題，增強(qiáng)固件的抗風(fēng)險(xiǎn)能力，我們對(duì)英特爾管理引擎（Management Engine）、英特爾服務(wù)器平臺(tái)（Server Platform）和英特爾可信執(zhí)行引擎（Trusted Execution Engine）進(jìn)行了深度全面的安全評(píng)估。結(jié)果就是，英特爾發(fā)現(xiàn)了可能將受影響平臺(tái)置于危險(xiǎn)境地的安全漏洞，”英特爾在其網(wǎng)站上說。Jo8esmc

這些漏洞包括允許黑客加載并運(yùn)行未授權(quán)的程序，能夠造成系統(tǒng)崩潰，或者是模擬系統(tǒng)安全核查。在許多情況下，黑客需要親自接觸電腦才能利用漏洞，但并非全部如此。這些漏洞存在于英特爾最近售出的幾乎每一款主流芯片，包括2015年推出的第六代酷睿芯片和去年推出的第七代酷睿芯片。Jo8esmc

英特爾表示，用戶應(yīng)當(dāng)聯(lián)系PC制造商修復(fù)漏洞?！拔覀兣c設(shè)備制造商進(jìn)行了合作，對(duì)固件和軟件進(jìn)行升級(jí)，以修復(fù)這些漏洞，這些升級(jí)已經(jīng)向用戶提供。如果企業(yè)、系統(tǒng)管理方和系統(tǒng)擁有者使用的計(jì)算機(jī)或設(shè)備內(nèi)置了英特爾芯片，應(yīng)當(dāng)與設(shè)備制造商或供應(yīng)商核實(shí)系統(tǒng)升級(jí)情況，并盡快進(jìn)行任何可用的升級(jí)，”英特爾在致媒體的一份聲明中說。Jo8esmc

盡管英特爾芯片的設(shè)計(jì)用途是幫助用戶運(yùn)行軟件程序，但這些芯片也內(nèi)置了一些軟件，以提供某些功能。英特爾芯片管理引擎能夠提供安全功能并幫助電腦啟動(dòng)，但它也運(yùn)行著一款名為Minix的舊操作系統(tǒng)。研究人員就是利用這款軟件，才發(fā)現(xiàn)了能夠欺騙英特爾芯片運(yùn)行惡意代碼的方法。Jo8esmc

谷歌等一些使用英特爾芯片的大型科技公司已經(jīng)表示，計(jì)劃關(guān)閉英特爾芯片的管理引擎，以消除安全漏洞。Jo8esmc

在聲明中，英特爾還對(duì)幫助發(fā)現(xiàn)漏洞的兩名研究人員表示了感謝。Jo8esmc

Jo8esmc