Intel SPI Flash Flaw让攻击者改变或删除BIOS / UEFI固件

英特尔解决了多个 CPU 系列配置中的一个漏洞问题。该漏洞可导致攻击者更改芯片的 SPI Flash 内存(在启动进程中使用的一个强制性组件)行为。

据近期部署了英特尔修复方案的联想公司表示,“系统固件设备 (SPI Flash)

的配置可导致攻击者拦截 BIOS/UEFI 更新,或者选择性地擦除或损坏固件部分。”

联想公司的工程师表示,“虽然这可能导致出现可见的功能障碍问题,但导致任意代码执行的情况很罕见。”

英特尔在4月3日为该漏洞 (CVE-2017-5703) 提供了修复方案。该公司表示如下 CPU 系列使用了不安全的操作码,可导致本地攻击者利用这个安全漏洞:

l  第8代 Intel® Core™ 处理器

l  第7代 Intel® Core™ 处理器

l  第6代 Intel® Core™ 处理器

l  第5代 Intel® Core™ 处理器

l  Intel® Pentium® 和 Celeron® 处理器 N3520、N2920 和 N28XX

l  Intel® Atom™ 处理器 x7-Z8XXX、x5-8XXX 处理器家族

l  Intel® Pentium™ 处理器 J3710 和 N37XX

l  Intel® Celeron™ 处理器 J3XXX

l  Intel® Atom™ x5-E8000 处理器

l  Intel® Pentium® 处理器 J4205 和 N4200

l  Intel® Celeron® 处理器 J3455、J3355、N3350 和 N3450

l  Intel® Atom™ 处理器 x7-E39XX 处理器

l  Intel® Xeon® Scalable 处理器

l  Intel® Xeon® 处理器 E3 v6 家族

l  Intel® Xeon® 处理器 E3 v5 家族

l  Intel® Xeon® 处理器 E7 v4 家族

l  Intel® Xeon® 处理器 E7 v3 家族

l  Intel® Xeon® 处理器 E7 v2 家族

l  Intel® Xeon® Phi™ 处理器 x200

l  Intel® Xeon® 处理器 D 家族

l  Intel® Atom™ 处理器 C 系列

这个漏洞的CVSSv3 评分是7.9分。英特尔在安全公告中表示问题由公司内部发现,并指出是 root 问题,已发布缓解措施;据该公司所知,漏洞并未遭外部黑客利用。

英特尔已发布更新供电脑和母板供应商部署作为固件补丁或 BIOS/UEFI 更新。

(完)