英特尔 SPI Flash 中存在缺陷 攻击者能更改或删除 BIOS/UEFI 固件

翻译：360代码卫士团队

英特尔解决了多个 CPU 系列配置中的一个漏洞问题。该漏洞可导致攻击者更改芯片的 SPI Flash 内存（在启动进程中使用的一个强制性组件）行为。

据近期部署了英特尔修复方案的联想公司表示，“系统固件设备 (SPI Flash)

的配置可导致攻击者拦截 BIOS/UEFI 更新，或者选择性地擦除或损坏固件部分。”

联想公司的工程师表示，“虽然这可能导致出现可见的功能障碍问题，但导致任意代码执行的情况很罕见。”

英特尔在4月3日为该漏洞 (CVE-2017-5703) 提供了修复方案。该公司表示如下 CPU 系列使用了不安全的操作码，可导致本地攻击者利用这个安全漏洞：

• 第8代 Intel® Core™ 处理器

• 第7代 Intel® Core™ 处理器

• 第6代 Intel® Core™ 处理器

• 第5代 Intel® Core™ 处理器

• Intel® Pentium® 和Celeron® 处理器 N3520、N2920 和 N28XX

• Intel® Atom™ 处理器 x7-Z8XXX、x5-8XXX处理器家族

• Intel® Pentium™ 处理器 J3710 和 N37XX

• Intel® Celeron™ 处理器 J3XXX

• Intel® Atom™ x5-E8000 处理器

• Intel® Pentium® 处理器 J4205 和 N4200

• Intel® Celeron® 处理器 J3455、J3355、N3350 和 N3450

• Intel® Atom™ 处理器 x7-E39XX 处理器

• Intel® Xeon® Scalable 处理器

• Intel® Xeon® 处理器 E3 v6 家族

• Intel® Xeon® 处理器 E3 v5 家族

• Intel® Xeon® 处理器 E7 v4 家族

• Intel® Xeon® 处理器 E7 v3 家族

• Intel® Xeon® 处理器 E7 v2 家族

• Intel® Xeon® Phi™ 处理器 x200

• Intel® Xeon® 处理器 D 家族

• Intel® Atom™ 处理器 C 系列

这个漏洞的CVSSv3 评分是7.9分。英特尔在安全公告中表示问题由公司内部发现，并指出是 root 问题，已发布缓解措施；据该公司所知，漏洞并未遭外部黑客利用。

英特尔已发布更新供电脑和母板供应商部署作为固件补丁或 BIOS/UEFI 更新。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。