雷鋒網(wǎng)消息,11月26日,據(jù)外媒報(bào)道,宏碁、戴爾、富士通、惠普、聯(lián)想,英特爾和松下正在嘗試發(fā)布補(bǔ)丁程序,希望能夠處理最近披露出來的英特爾CPU漏洞,不過固件更新可能還需要一段時(shí)間才能向所有客戶提供。
一批外部研究人員發(fā)現(xiàn)了部分嚴(yán)重潛在漏洞會對管理引擎(ME)和主動管理技術(shù)(AMT)產(chǎn)生影響,這些功能可以允許用戶遠(yuǎn)程管理計(jì)算機(jī),之后英特爾公司決定對其產(chǎn)品進(jìn)行全面評估。
據(jù)研究人員的分析結(jié)果顯示,在管理引擎、可信執(zhí)行引擎(TXE)和服務(wù)器平臺服務(wù)(SPS)上也存在多個(gè)漏洞。這些安全漏洞能夠被利用模擬管理引擎,可信執(zhí)行引擎,以及服務(wù)器平臺服務(wù),繼而影響本地安全特性認(rèn)證的有效性,同時(shí)在執(zhí)行任意代碼時(shí)不被用戶和操作系統(tǒng)監(jiān)測到,造成系統(tǒng)崩潰或不穩(wěn)定。
雷鋒網(wǎng)了解到,現(xiàn)階段,影響似乎還不是太大,因?yàn)楣敉ǔP枰獙τ袧撛诼┒吹脑O(shè)備進(jìn)行本地訪問。但是,在某些情況下,黑客也可以越過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程攻擊,研究人員警告,一旦可重復(fù)攻擊策略被開發(fā)出來,那么黑客攻擊就會變得非常簡單。
英特爾公司已經(jīng)為使用其受影響的處理器設(shè)備制造商提供了固件補(bǔ)丁,其中包括支持?jǐn)?shù)百萬個(gè)操作系統(tǒng)的Core、Xeon、Atom、Pentium、以及Celeron CPU芯片。
但是,如果所有用戶都獲得必要的補(bǔ)丁,可能還需要相當(dāng)長的一段時(shí)間。英特爾公司自己目前的計(jì)劃是在12 月份為受感染的NUC、Compute Stick、以及 Compute Card mini PC和開發(fā)包發(fā)布BIOS更新,目前已經(jīng)有超過 30 個(gè)型號的設(shè)備受到這些漏洞的影響。
宏碁公司已經(jīng)發(fā)布了一份明細(xì)列表,其中涉及到大約240款受影響的筆記本和桌面PC,包括Packard Bell、Gateway、Aspire、Veriton、TravelMate、Predator以及Extensa等型號。但現(xiàn)階段,該公司還沒有確定具體在什么時(shí)候進(jìn)行固件更新。
戴爾公司已經(jīng)啟動了針對筆記本電腦、PC電腦和PowerEdge服務(wù)器的咨詢服務(wù),而且PowerEdge服務(wù)器還可以提供專屬服務(wù)。有超過180款筆記本和桌面PC電腦存在相關(guān)安全漏洞,包括Alienware、 Inspiron、Latitude、OptiPlex、 Precision、Vostro以及XPS等型號。
戴爾公司表示,他們預(yù)計(jì)會在明年一月對受影響產(chǎn)品發(fā)布固件更新,但是由于涉及的系統(tǒng)數(shù)量較多,因此具體日期尚未確定。與此同時(shí),該公司還建議用戶“在可能的條件下,確保系統(tǒng)在物理上是安全的,并且要遵循良好的安全措施,以確保只有經(jīng)過授權(quán)的人員才能親自使用設(shè)備。”
富士通公司也給旗下用戶發(fā)布了建議,告知他們超過30款主板產(chǎn)品,43款Esprimo桌面PC電腦,11款Celsius工作站,10款Primergy服務(wù)器,以及67款LifeBook、Stylistic和Celsius筆記本及平板電腦受到影響。另外,他們的調(diào)查還在進(jìn)行中,所以未來有可能還會公布其他受影響的新產(chǎn)品型號。
目前,富士通公司已經(jīng)對旗下部分產(chǎn)品提供了更新,但是絕大部分產(chǎn)品更新的具體時(shí)間還沒有確認(rèn)公布。
HPE公司已經(jīng)為受影響的ProLiant和Synergy服務(wù)器用戶提供了建議,請他們及時(shí)安裝固件更新。同時(shí),該公司還指出,黑客攻擊需要實(shí)際訪問物理主板,因此可以選擇使用機(jī)蓋鎖來監(jiān)測惡意行為。不僅如此,通過HPE 的Sillicon Root of Trust功能也能直接阻止惡意攻擊,確保一些未經(jīng)授權(quán)的固件在機(jī)器上運(yùn)行。
聯(lián)想公司也已經(jīng)為旗下多款產(chǎn)品發(fā)布了補(bǔ)丁,預(yù)計(jì)本周還會有更多更新提供給用戶。
松下公司發(fā)布了一項(xiàng)通知,告知其客戶他們的筆記本和平板電腦受到了英特爾芯片漏洞的影響,部分受影響的設(shè)備預(yù)計(jì)會在明年一月受到固件更新。
據(jù)悉,英特爾公司現(xiàn)在已發(fā)布了一款工具,可以用來檢測系統(tǒng)是否受到相關(guān)漏洞的影響。
“掌”握科技鮮聞 (微信搜索techsina或掃描左側(cè)二維碼關(guān)注)
