英特尔“管理引擎”再曝新漏洞 波及服务器、PC和物联网设备
据报道,英特尔本周一发布了一份安全报告,承认该公司芯片CPU上的“管理引擎”(Management Engine,简称ME)出现新漏洞,这将导致几乎所有最近出厂的 Intel芯片都受到了影响,包括服务器、PC和物联网设备设备等。
这是自2011年英特尔缺陷门事件后,ME的远程管理功能再一次招祸。
这次漏洞首先是被俄罗斯固件研究人员 Maxim Goryachy和MarkErmolov两人发现,他们将于下个月在 Black Hat Europe发布更详细的调查结果。
英特尔在周一的安全公告中,列出了此次ME中的新漏洞,以及远程服务器管理工具 Server Platform Services和 Intel硬件验证工具 Trusted Execution Engine中的漏洞。同样,英特尔还发布了一个检测工具,以便 Windows和Linux管理员可以查看他们的系统是否暴露。
与之前 ME出现的漏洞一样,几乎所有最近出厂的 Intel芯片都受到了影响,包括服务器、PC和物联网设备设备等。英特尔表示,已经开发软件补丁来修复问题,但实际上客户需要等到相应的硬件厂商推出修补程序,才能下载更新布丁,这使得问题更为复杂。但直到目前,PC厂商中只有联想一家提供了固件更新。
这些漏洞包括允许黑客加载并运行未授权的程序,能够造成系统崩溃,或者是模拟系统安全核查。
Google安全研究员 MatthewGarrett在Twitter上评论称,“基于目前公开消息,我们还未明确这件事情的严重性。也有可能是无害的,也可能是一次打的交易”,他之后又补充:“但同样,我也得不出任何结果这件事情是无害的”。
出于安全考虑,谷歌等一些使用英特尔芯片的大型科技公司已经表示,计划关闭英特尔芯片的ME功能,以消除安全漏洞隐患。