导读 英特尔内部团队本周披露了该公司融合安全与管理引擎(CSME)中的一个新漏洞,该漏洞可能允许对某些采用Intel CPU的PC进行特权升级,拒绝服务
英特尔内部团队本周披露了该公司融合安全与管理引擎(CSME)中的一个新漏洞,该漏洞可能允许对某些采用Intel CPU的PC进行特权升级,拒绝服务和信息泄露攻击。
该错误会影响CSME微控制器单元(MCU)随附的所有Intel CPU,但新一代的Ice Lake和Comet Lake处理器除外。该漏洞的CVSS评分为8.2(满分10),被归类为“严重”。
固件缺陷是英特尔CSME版本12.0至12.0.48中的子系统中的身份验证不正确,并且版本13.0-13.0.20和14.0-14.0.10可能仍允许攻击者启用特权升级,拒绝服务或信息泄露,如果他们可以通过其他一些错误对设备进行本地访问。
仅在几年前,我们几乎没有听说过英特尔固件的安全性问题。但是如今,尤其是对于英特尔管理引擎(ME)(CSME的几个固件子集之一)而言,似乎每年都有几项重大披露。
英特尔ME / CSME芯片和固件的利用可以使攻击者远程绕过计算机的安全解决方案并将其接管。这是因为ME / CSME和Intel主动管理技术(AMT)支持的远程带外管理是Intel在其处理器中实现的“功能”。
隐私权主义者和系统供应商长期以来一直认为,英特尔®ME和AMT固件太危险了,无法在大多数设备上启用,尤其是在几乎不需要它们的消费类设备上。
减轻
英特尔建议您向系统制造商询问CSME固件更新版本12.0.49、13.0.21和14.0.11或更高版本。
对于大多数固件更新,系统制造商可能只会更新最新的设备,而绝大多数使用中的设备仍然容易受到攻击。