英特爾芯片組發(fā)現(xiàn)無法修復(fù)的安全缺陷

壞消息是：一家安全研究公司發(fā)現(xiàn)，過去五年來在計(jì)算機(jī)中使用的英特爾芯片組存在一個(gè)重大缺陷，允許黑客繞過加密代碼，悄悄安裝密鑰記錄器等惡意軟件。

更糟糕的消息是：這個(gè)問題沒有完全解決辦法。

安全公司積極技術(shù)公司上周晚些時(shí)候宣布，這一漏洞，硬編碼在引導(dǎo)ROM，暴露了數(shù)百萬使用英特爾架構(gòu)的設(shè)備，工業(yè)和泄漏敏感信息，不能檢測到他們的發(fā)生。 由于缺陷發(fā)生在硬件層面，無法修補(bǔ)..

該公司表示，黑客需要直接訪問本地網(wǎng)絡(luò)或機(jī)器，從而在一定程度上限制了攻擊的可能性。 他們還指出，攻擊的一個(gè)障礙是一次性可編程(O TP)內(nèi)存中的加密芯片組密鑰，盡管啟動(dòng)這種加密的單元本身就可以攻擊。

研究人員明確表示，這一威脅是嚴(yán)重的。

積極技術(shù)研究人員說：“由于ROM漏洞允許在硬件密鑰生成機(jī)制...被鎖定之前控制代碼執(zhí)行，并且ROM漏洞無法修復(fù)，所以我們認(rèn)為提取這個(gè)[加密]密鑰只是時(shí)間問題?！?/p>

當(dāng)這種情況發(fā)生時(shí)，徹底的混亂將占統(tǒng)治地位。

他們警告說，偽造硬件ID，提取數(shù)字內(nèi)容和解密硬盤上的數(shù)據(jù)。

英特爾最近的芯片系列，第10代處理器，并不容易受到這種威脅。

去年秋天，英特爾承認(rèn)意識(shí)到這個(gè)問題，上周四發(fā)布了一個(gè)補(bǔ)丁，部分解決了這個(gè)問題。 該公司的一位發(fā)言人解釋說，雖然他們無法在現(xiàn)有計(jì)算機(jī)中保護(hù)硬編碼ROM，但他們正在試圖設(shè)計(jì)補(bǔ)丁，將所有潛在的系統(tǒng)攻擊目標(biāo)隔離開來。

該缺陷位于英特爾的聚合安全管理引擎(CSME)，它處理所有英特爾驅(qū)動(dòng)的機(jī)器上固件的安全。 近年來，英特爾面臨著一些嚴(yán)重的安全缺陷，如崩潰和頻譜處理器漏洞和緩存輸出攻擊。

最新的危機(jī)是在與受歡迎的Ryzen芯片開發(fā)商AMD日益激烈的競爭之際發(fā)生的。

但也許最嚴(yán)重的打擊是英特爾長期以來的卓越聲譽(yù)。 正技術(shù)公司OS和硬件安全首席專家馬克·埃爾莫洛夫(Mark Ermolov)表示，最新的缺陷是英特爾最重要的資產(chǎn)——信任的核心。

埃爾莫洛夫說：“英特爾系統(tǒng)的建筑師、工程師和安全專家最擔(dān)心的情況現(xiàn)在已經(jīng)成為現(xiàn)實(shí)?！?“這種脆弱性危及英特爾為建立信任之根所做的一切，并為公司平臺(tái)奠定堅(jiān)實(shí)的安全基礎(chǔ)?！?/p>