這個安全漏洞存在了近十年 英特爾終于打上了補丁
據(jù)外媒報道,芯片巨頭英特爾終于打上了一個存在了近乎 10 年的安全漏洞補丁,其影響自 2008 年的 Nehalem 以來、一直到 2017 年的 Kaby Lake 的許多芯片。在 5 月 1 日發(fā)布的一篇安全公告中,英特爾對這個提權(quán)漏洞劃給出了“極其嚴重”(Critical Severity)的評定。該漏洞存在于主動管理(AMT)、標準管理(ISM)、以及英特爾小企業(yè)技術(shù)(SBT)中,涉及版本號為 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 的固件。
借助這個漏洞,攻擊者可以“獲取上述產(chǎn)品中提供的管理功能的控制權(quán)”。
此外英特爾還特別給出了兩個例子:
● 某個無特權(quán)的網(wǎng)絡(luò)攻擊者,可以借助英特爾提供的管理功能來獲得系統(tǒng)權(quán)限,其影響下述 SKU —— AMT、ISM、SBT(CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。
● 某個無特權(quán)的本地攻擊者,可以再次上獲得網(wǎng)絡(luò)或本地系統(tǒng)上的權(quán)限,其影響下述 SKU —— AMT、ISM、SBT((CVSSv3 8.4 High /AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H))。
SemiAccurate 指出,其敦促英特爾修復該問題已有數(shù)年的時間,但該公司在過去 9 年里幾乎無動于衷。