英特尔解决了多个 CPU 系列配置中的一个漏洞问题。该漏洞可导致攻击者更改芯片的 SPI Flash 内存(在启动进程中使用的一个强制性组件)行为。
据近期部署了英特尔修复方案的联想公司表示,“系统固件设备 (SPI Flash)的配置可导致攻击者拦截 BIOS/UEFI 更新,或者选择性地擦除或损坏固件部分。”
联想公司的工程师表示,“虽然这可能导致出现可见的功能障碍问题,但导致任意代码执行的情况很罕见。”
英特尔在4月3日为该漏洞 (CVE-2017-5703) 提供了修复方案。该公司表示如下 CPU 系列使用了不安全的操作码,可导致本地攻击者利用这个安全漏洞:
第8代 Intel® Core™ 处理器
第7代 Intel® Core™ 处理器
第6代 Intel® Core™ 处理器
第5代 Intel® Core™ 处理器
Intel® Pentium® 和 Celeron® 处理器 N3520、N2920 和 N28XX
Intel® Atom™ 处理器 x7-Z8XXX、x5-8XXX 处理器家族
Intel® Pentium™ 处理器 J3710 和 N37XX
Intel® Celeron™ 处理器 J3XXX
Intel® Atom™ x5-E8000 处理器
Intel® Pentium® 处理器 J4205 和 N4200
Intel® Celeron® 处理器 J3455、J3355、N3350 和 N3450
Intel® Atom™ 处理器 x7-E39XX 处理器
Intel® Xeon® Scalable 处理器
Intel® Xeon® 处理器 E3 v6 家族
Intel® Xeon® 处理器 E3 v5 家族
Intel® Xeon® 处理器 E7 v4 家族
Intel® Xeon® 处理器 E7 v3 家族
Intel® Xeon® 处理器 E7 v2 家族
Intel® Xeon® Phi™ 处理器 x200
Intel® Xeon® 处理器 D 家族
Intel® Atom™ 处理器 C 系列
这个漏洞的CVSSv3 评分是7.9分。英特尔在安全公告中表示问题由公司内部发现,并指出是 root 问题,已发布缓解措施;据该公司所知,漏洞并未遭外部黑客利用。
英特尔已发布更新供电脑和母板供应商部署作为固件补丁或 BIOS/UEFI 更新。
本文由360代码卫士翻译自BleepingComputer
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。