這個(gè)安全漏洞存在了近十年 英特爾終于打上了補(bǔ)丁

 據(jù)外媒報(bào)道，芯片巨頭英特爾終于打上了一個(gè)存在了近乎 10 年的安全漏洞補(bǔ)丁，其影響自 2008 年的 Nehalem 以來(lái)、一直到 2017 年的 Kaby Lake 的許多芯片。在 5 月 1 日發(fā)布的一篇安全公告中，英特爾對(duì)這個(gè)提權(quán)漏洞劃給出了“極其嚴(yán)重”(Critical Severity)的評(píng)定。該漏洞存在于主動(dòng)管理(AMT)、標(biāo)準(zhǔn)管理(ISM)、以及英特爾小企業(yè)技術(shù)(SBT)中，涉及版本號(hào)為 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 的固件。

借助這個(gè)漏洞，攻擊者可以“獲取上述產(chǎn)品中提供的管理功能的控制權(quán)”。

此外英特爾還特別給出了兩個(gè)例子：

● 某個(gè)無(wú)特權(quán)的網(wǎng)絡(luò)攻擊者，可以借助英特爾提供的管理功能來(lái)獲得系統(tǒng)權(quán)限，其影響下述 SKU —— AMT、ISM、SBT(CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。

● 某個(gè)無(wú)特權(quán)的本地攻擊者，可以再次上獲得網(wǎng)絡(luò)或本地系統(tǒng)上的權(quán)限，其影響下述 SKU —— AMT、ISM、SBT((CVSSv3 8.4 High /AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H))。

SemiAccurate 指出，其敦促英特爾修復(fù)該問(wèn)題已有數(shù)年的時(shí)間，但該公司在過(guò)去 9 年里幾乎無(wú)動(dòng)于衷。