英特尔芯片组中发现无法修复的安全漏洞

 
坏消息：一家安全研究公司发现，过去五年用于计算机的英特尔芯片组具有一个重大缺陷，该缺陷使黑客可以绕过加密代码并安静地安装诸如键盘记录程序之类的恶意软件。
更糟糕的消息是：还没有针对该问题的完整解决方案。
安全公司Positive Technologies上周晚些时候宣布，该漏洞在启动ROM中进行了硬编码，使数百万使用英特尔架构的设备遭受工业间谍活动和敏感信息的泄漏，这些信息一旦发生就无法检测到。由于该缺陷发生在硬件级别，因此无法修补。
该公司表示，黑客将需要直接访问本地网络或计算机，从而在某种程度上限制了攻击的可能性。他们还指出，尽管一次性进行这种加密的设备本身也很容易受到攻击，但一次性可编程(OTP)内存中的加密芯片组密钥是攻击的障碍。
研究人员明确表示威胁是严重的。
“由于ROM漏洞允许在锁定硬件密钥生成机制之前抓住控制代码执行的时间，并且无法修复ROM漏洞，因此我们认为提取此(加密)密钥只是时间问题，” Positive Technologies研究人员说。 。
“当这种情况发生时，将会完全混乱。”
他们警告伪造的硬件ID，提取的数字内容以及硬盘驱动器上的数据解密。
英特尔最新的芯片系列，即第十代处理器，不容易受到这种威胁的影响。
承认去年秋天已意识到该问题的英特尔于上周四发布了一个补丁程序，部分解决了该问题。该公司的一位发言人解释说，尽管他们无法保护现有计算机中的硬编码ROM，但他们正在尝试设计可隔离所有潜在系统攻击目标的补丁程序。
该漏洞位于英特尔的融合安全管理引擎(CSME)中，该引擎可处理所有基于Intel的计算机上固件的安全性。近年来，英特尔遇到了一些严重的安全漏洞，例如Meltdown和Spectre处理器漏洞以及CacheOut攻击。
最新的危机发生在与流行Ryzen芯片开发商AMD的激烈竞争之际。
但也许最严重的打击是英特尔长期以来的卓越声誉。 Positive Technologies操作系统和硬件安全首席专家Mark Ermolov认为，最新的漏洞触及了英特尔最重要的资产：信任。
埃尔莫洛夫说：“英特尔系统架构师，工程师和安全专家最担心的情况现在已经成为现实。” “此漏洞危及英特尔为建立信任根并为该公司的平台奠定坚实的安全基础所做的一切。”