更糟糕的消息是:目前还没有针对这个问题的完全方案。
安全技术公司Positive Technologies上周宣布,该漏洞被硬编码在ROM启动中,使数百万使用英特尔硬件的设备暴露于工业间谍的活动中,由此导致的敏感信息泄漏即使已经发生也无法检测到。由于该安全漏洞存在于硬件层面,因此无法修补。
该公司表示,黑客需要直接访问本地网络或计算机,这一点从而在某种程度上限制了攻击的可能性。他们还指出,尽管启动这种加密单元本身也很容易受到攻击,但一次性可编程(OTP)内存中的加密芯片组密钥将成为抵御攻击的屏障。
研究人员明确表示这一威胁是非常严重的。
“由于ROM漏洞允许在硬件密钥生成机制锁定之前控制代码执行,且ROM漏洞是无法修复的,因此我们认为提取此(加密)密钥只是时间问题。”Positive Technologies研究人员说。
“当这种情况真的发生了,一切将变得彻底混乱。”
他们警告要当心伪造的硬件ID,提取出的数字内容以及针对硬盘驱动器上的数据解密。
英特尔最新的芯片系列,即第十代处理器,不易受这种威胁的影响。
英特尔承认他们在去年秋天意识到了这个问题,并在上周四发布了一个补丁程序,部分解决了这个问题。该公司的一位发言人解释,尽管他们无法保护现有计算机中的硬编码ROM,但他们正在尝试设计一种可以防御所有潜在系统攻击目标的补丁程序。
该漏洞位于英特尔的融合安全管理引擎(CSME)中,该引擎可处理所有基于Intel的计算机上固件的安全性。近年来,英特尔遇到了一些严重的安全漏洞,例如Meltdown和Spectre处理器漏洞以及CacheOut攻击。
最新的危机发生在与AMD(热卖的Ryzen芯片开发商)的激烈竞争之际。
但也许最严重的打击是英特尔长期以来的卓越声誉。Positive Technologies操作系统和硬件安全首席专家Mark Ermolov认为,最新的漏洞触及了英特尔最重要的资产:信任。
Ermolov说:“英特尔系统架构师,工程师和安全专家最担心的情况现在已经发生了。”“这个漏洞危及到了英特尔长期以来建立起的信任根基以及为奠定平台安全基础所做的一切。”
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
