当前位置:安全资讯 >> 全文

英特尔 SPI Flash 中存在缺陷 攻击者能更改或删除 BIOS/UEFI 固件

发布时间:2018-4-16 13:20 标签: CPU,英特尔
分享到 0

英特尔解决了多个 CPU 系列配置中的一个漏洞问题。该漏洞可导致攻击者更改芯片的 SPI Flash 内存(在启动进程中使用的一个强制性组件)行为。

据近期部署了英特尔修复方案的联想公司表示,“系统固件设备 (SPI Flash)

的配置可导致攻击者拦截 BIOS/UEFI 更新,或者选择性地擦除或损坏固件部分。”

联想公司的工程师表示,“虽然这可能导致出现可见的功能障碍问题,但导致任意代码执行的情况很罕见。”

英特尔在43日为该漏洞 (CVE-2017-5703) 提供了修复方案。该公司表示如下 CPU 系列使用了不安全的操作码,可导致本地攻击者利用这个安全漏洞:

l  8 Intel® Core 处理器

l  7 Intel® Core 处理器

l  6 Intel® Core 处理器

l  5 Intel® Core 处理器

l  Intel® Pentium® Celeron® 处理器 N3520N2920 N28XX

l  Intel® Atom 处理器 x7-Z8XXXx5-8XXX处理器家族

l  Intel® Pentium 处理器 J3710 N37XX

l  Intel® Celeron 处理器 J3XXX

l  Intel® Atom x5-E8000 处理器

l  Intel® Pentium® 处理器 J4205 N4200

l  Intel® Celeron® 处理器 J3455J3355N3350 N3450

l  Intel® Atom 处理器 x7-E39XX 处理器

l  Intel® Xeon® Scalable 处理器

l  Intel® Xeon® 处理器 E3 v6 家族

l  Intel® Xeon® 处理器 E3 v5 家族

l  Intel® Xeon® 处理器 E7 v4 家族

l  Intel® Xeon® 处理器 E7 v3 家族

l  Intel® Xeon® 处理器 E7 v2 家族

l  Intel® Xeon® Phi 处理器 x200

l  Intel® Xeon® 处理器 D 家族

l  Intel® Atom 处理器 C 系列

这个漏洞的CVSSv3 评分是7.9分。英特尔在安全公告中表示问题由公司内部发现,并指出是 root 问题,已发布缓解措施;据该公司所知,漏洞并未遭外部黑客利用。

英特尔已发布更新供电脑和母板供应商部署作为固件补丁或 BIOS/UEFI 更新。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/intel-spi-flash-flaw-lets-attackers-alter-or-delete-bios-uefi-firmware/
参与讨论,请先 登录 | 注册

用户评论