Intel SPI Flash Flaw让攻击者改变或删除BIOS / UEFI固件

阅读量158441

发布时间 : 2018-04-16 16:00:32

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:https://www.bleepingcomputer.com/

原文地址:https://www.bleepingcomputer.com/news/security/intel-spi-flash-flaw-lets-attackers-alter-or-delete-bios-uefi-firmware/

译文仅供参考,具体内容表达以及含义原文为准。

英特尔解决了多个 CPU 系列配置中的一个漏洞问题。该漏洞可导致攻击者更改芯片的 SPI Flash 内存(在启动进程中使用的一个强制性组件)行为。

据近期部署了英特尔修复方案的联想公司表示,“系统固件设备 (SPI Flash)

的配置可导致攻击者拦截 BIOS/UEFI 更新,或者选择性地擦除或损坏固件部分。”

联想公司的工程师表示,“虽然这可能导致出现可见的功能障碍问题,但导致任意代码执行的情况很罕见。”

英特尔在4月3日为该漏洞 (CVE-2017-5703) 提供了修复方案。该公司表示如下 CPU 系列使用了不安全的操作码,可导致本地攻击者利用这个安全漏洞:

l  第8代 Intel® Core™ 处理器

l  第7代 Intel® Core™ 处理器

l  第6代 Intel® Core™ 处理器

l  第5代 Intel® Core™ 处理器

l  Intel® Pentium® 和 Celeron® 处理器 N3520、N2920 和 N28XX

l  Intel® Atom™ 处理器 x7-Z8XXX、x5-8XXX 处理器家族

l  Intel® Pentium™ 处理器 J3710 和 N37XX

l  Intel® Celeron™ 处理器 J3XXX

l  Intel® Atom™ x5-E8000 处理器

l  Intel® Pentium® 处理器 J4205 和 N4200

l  Intel® Celeron® 处理器 J3455、J3355、N3350 和 N3450

l  Intel® Atom™ 处理器 x7-E39XX 处理器

l  Intel® Xeon® Scalable 处理器

l  Intel® Xeon® 处理器 E3 v6 家族

l  Intel® Xeon® 处理器 E3 v5 家族

l  Intel® Xeon® 处理器 E7 v4 家族

l  Intel® Xeon® 处理器 E7 v3 家族

l  Intel® Xeon® 处理器 E7 v2 家族

l  Intel® Xeon® Phi™ 处理器 x200

l  Intel® Xeon® 处理器 D 家族

l  Intel® Atom™ 处理器 C 系列

这个漏洞的CVSSv3 评分是7.9分。英特尔在安全公告中表示问题由公司内部发现,并指出是 root 问题,已发布缓解措施;据该公司所知,漏洞并未遭外部黑客利用。

英特尔已发布更新供电脑和母板供应商部署作为固件补丁或 BIOS/UEFI 更新。

本文翻译自https://www.bleepingcomputer.com/ 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66