更坏的消息是:这个问题没有完全的解决方案。
安全公司积极技术(Positive Technologies)上周晚些时候宣布,在启动ROM中硬编码的这一漏洞,使数百万使用英特尔架构的设备暴露在工业间谍活动和敏感信息泄露的环境中,这些信息无法在它们发生时被检测到。因为缺陷发生在硬件级别,所以不能对其进行修补。
该公司表示,黑客需要直接访问本地网络或机器,这在一定程度上限制了攻击的可能性。他们还指出,攻击的一个障碍是一次性可编程(OTP)内存中的加密芯片组密钥,尽管发起这种加密的单元本身就容易受到攻击。
研究人员明确表示,这是一个严重的威胁。
Positive Technologies的研究人员表示:“由于ROM漏洞允许在硬件密钥生成机制……被锁定之前控制代码执行,而且ROM漏洞无法修复,我们认为提取这个(加密)密钥只是时间问题。”
“当这种情况发生时,将会出现彻底的混乱。”
他们对伪造的硬件id、提取的数字内容和硬盘上的解密数据发出了警告。
英特尔最新推出的第10代处理器(10gen processors)芯片并不容易受到这种威胁。
英特尔于上周四发布了一个补丁,部分解决了这个问题。该公司承认,去年秋天就意识到了这个问题。该公司的一位发言人解释说,虽然他们无法在现有的电脑上保护硬编码ROM,但他们正在努力设计补丁,隔离所有可能的系统攻击目标。
该漏洞位于英特尔的聚合安全管理引擎(CSME)中,该引擎负责在所有英特尔驱动的机器上处理固件的安全。近年来,Intel遇到了一些严重的安全漏洞,如Meltdown和Spectre处理器漏洞以及CacheOut攻击。
最新的危机发生之际,正值与广受欢迎的Ryzen芯片开发商AMD的竞争日益激烈之际。
但最严重的打击可能是英特尔长期以来的卓越声誉。积极技术公司(Positive Technologies)操作系统和硬件安全首席专家马克•埃尔莫洛夫(Mark Ermolov)表示,最新的漏洞击中了英特尔最重要资产的核心:信任。
Ermolov说:“英特尔系统架构师、工程师和安全专家最担心的场景现在已经成为了现实。”“这个漏洞危及英特尔为建立信任根基和为公司平台奠定坚实安全基础所做的一切。”
(转载:www.idcew.com)