英特尔“管理引擎”曝安全漏洞,数百万设备遭牵连

intel-flaw

英特尔本周发布了一份安全报告,承认该公司芯片CPU上的“管理引擎”(Management Engine,简称ME)出现新漏洞,这将导致几乎所有最近出厂的 Intel芯片都受到了影响,包括服务器、PC和物联网设备设备等。

管理引擎(Management Engine)是运行在英特尔芯片组一个单独微处理器上的独立的子系统;它的存在允许管理者远程控制其计算机上所有的功能,从更新到故障排除。该漏洞可能导致的最坏情况是「在用户和操作系统没有意识到的情况下,加载和执行任意代码」。

几乎所有最近出厂的 Intel芯片都受到了影响,包括服务器、PC和物联网设备设备等。英特尔表示,已经开发软件补丁来修复问题,但实际上客户需要等到相应的硬件厂商推出修补程序,才能下载更新布丁,这使得问题更为复杂。但直到目前,PC厂商中只有联想一家提供了固件更新。

这次漏洞首先是被俄罗斯固件研究人员 Maxim Goryachy和MarkErmolov两人发现,他们将于下个月在 Black Hat Europe发布更详细的调查结果。

英特尔在周一的安全公告中,列出了此次ME中的新漏洞,以及远程服务器管理工具 Server Platform Services和 Intel硬件验证工具 Trusted Execution Engine中的漏洞。同样,英特尔还发布了一个检测工具,以便 Windows和Linux管理员可以查看他们的系统是否暴露。

Google安全研究员 MatthewGarrett在Twitter上评论称,“基于目前公开消息,我们还未明确这件事情的严重性。也有可能是无害的,也可能是一次打的交易”,他之后又补充:“但同样,我也得不出任何结果这件事情是无害的”。