更坏的消息是:这个问题还没有完全解决。
这安全企业积极技术宣布的上周晚些时候,该漏洞被硬编码在启动只读存储器中,使数百万使用英特尔架构的设备暴露于工业间谍活动和敏感信息泄露之下,而这些信息在发生时无法被检测到。因为缺陷发生在硬件级别,所以无法修补。
该公司表示,黑客需要直接访问本地网络或机器,从而在一定程度上限制了攻击的可能性。他们还指出,攻击的一个障碍是一次性可编程(OTP)内存中的加密芯片组密钥,尽管发起这种加密的单元本身就容易受到攻击。
研究人员明确表示,这是一个严重的威胁。
“由于只读存储器漏洞允许在硬件密钥生成机制被锁定之前控制代码执行,并且只读存储器漏洞无法修复,我们认为提取[加密]密钥只是时间问题,”积极技术公司的研究人员说。
"当这种情况发生时,将会出现完全的混乱."
他们警告伪造的硬件身份证,提取数字内容和解密硬盘上的数据。
英特尔最新的芯片系列,第10代处理器,不容易受到这种威胁。
英特尔承认去年秋天就意识到了这个问题,上周四发布了一个补丁,部分解决了这个问题。该公司的一名发言人解释说,虽然他们无法保护现有计算机中的硬编码只读存储器,但他们正试图设计补丁来隔离所有潜在的系统攻击目标。
该漏洞位于英特尔的融合安全管理引擎(CSME)中,该引擎处理所有采用英特尔技术的机器上固件的安全性。近年来,英特尔遇到了一些严重的安全缺陷,如熔毁和幽灵处理器漏洞以及缓存攻击。
最近的危机发生在与广受欢迎的瑞森芯片开发商AMD的竞争日益激烈的时候。
但也许最严重的打击是英特尔长期以来的卓越声誉。积极技术公司的操作系统和硬件安全首席专家马克·埃尔莫洛夫认为,最新的缺陷打击了英特尔最重要资产的核心:信任。
“英特尔系统架构师、工程师和安全专家最担心的场景现在变成了现实,”埃尔莫洛夫说。“这一漏洞危及英特尔为建立信任根和为公司平台奠定坚实的安全基础所做的一切。”
(转载:www.idcew.com)