导读 在过去五年中发布的大多数英特尔芯片组中都发现了一个漏洞,攻击者可以利用该漏洞提取存储在PCH微芯片上的芯片组密钥,并获取对使用该密钥
在过去五年中发布的大多数英特尔芯片组中都发现了一个漏洞,攻击者可以利用该漏洞提取存储在PCH微芯片上的芯片组密钥,并获取对使用该密钥加密的数据的访问权。
积极技术发现了此问题CVE-2019-0090,该问题驻留在英特尔融合安全性和管理引擎中。积极技术公司已将此问题通知英特尔。
该公司表示,利用该漏洞的任何违规行为都是不可能发现的,一旦攻击者使用它来获取进入权限,他就可以解密存储在目标计算机上的数据,甚至伪造其用于数字版权管理,金融交易的增强型隐私ID证明。以及使用IoT设备时。此外,这将使攻击者能够以受害者的身份通过计算机。
攻击者可以利用自己计算机上的漏洞绕过内容DRM并进行非法复制。在ROM中,此漏洞还允许在Intel CSME的零特权级别执行任意代码。没有固件更新可以修复该漏洞。” Positive Technologies报告说。
相反,英特尔建议那些使用英特尔CSME,SPS,TXE,DAL和AMT的用户联系其设备或主板制造商以获取微芯片或BIOS更新,以解决该漏洞。但是,即使这些措施也不能完全解决问题。
该公司表示:“ Positive Technologies专家建议禁用基于Intel CSME的数据存储设备加密,或考虑迁移到第十代或更高版本的Intel CPU。”