本文來自合作媒體 雷鋒網 ，INSIDE 授權轉載

一個高風險漏洞存在於英特爾晶片近十年，並且早在幾年前，就有機構提醒過該漏洞的存在，然而英特爾近日才公佈，這究竟是什麼原因？恐怕只有他們自己知道。

5 月 1 日，英特爾（Intel）公司公佈了一個嚴重高風險（Critical）級別安全漏洞，攻擊者可以利用該漏洞進行英特爾產品系統的遠程控制權。漏洞影響所有英特爾企業版伺服器和綜合利用技術，涉及版本號為 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 系列的所有韌體產品。這意味著英特爾近十年來的韌體晶片都會受到影響！

據瞭解，這漏洞主要存在英特爾管理引擎（ME）的主動管理（AMT）、伺服器管理組件（ISM）、以及英特爾小企業技術（SBT）中，普通個人電腦 PC 由於沒有相應模塊，所以不會被遠程控制提權。

「我們向英特爾反映了多年！」

英特爾發佈公告後，國外科技爆料網站 Semiaccurate 發佈文章表示：

我們近年來一直懇求英特爾公司盡快修復該漏洞，然而他們現在才後知後覺。

Semiaccurate 聲稱自己 5 年前就開始向英特爾公司提這個漏洞，英特爾公司 10 年來對該漏洞不屑一顧，選擇現在進行公佈修復，可能是的確受到一些重大影響而不得不承認的舉措。

Semiaccurate 指出了漏洞的原因：

Intel 晶片中有一個獨立於 CPU 和操作系統的微處理器，叫做英特爾管理引擎 Intel Management Engine，簡稱 ME。多種技術都基於 ME，包括代碼處理、媒體 DRM、可信平台模塊 TPM 等。

ME 是一個有別於 CPU 的獨立系統，它可以在不受 CPU 管控下通過搭配 AMT（英特爾主動管理技術）等技術用來遠程管理企業電腦。

據瞭解，AMT 技術允許 IT 技術員遠程管理和修復聯網的電腦系統，它能夠自動執行一個獨立於操作系統的子系統，使得在操作系統出現故障的時候，管理員能夠在遠程監視和管理客戶端、進行遠程管理和系統檢測、軟硬體檢查、遠端更新 BIOS 和病毒碼及操作系統，甚至在系統關機的時候，也可以通過網路對伺服器進行管理操作。

Semiaccurate 在其文章中特別強調了一點，暗示英特爾在晶片中故意留有後門：

儘管英特爾對 ME 有著很多官方說明，但 ME 技術架構一直是英特爾不願談及的話題，因為沒人真正知曉該技術的真正目的，以及是否可以做到完全禁用等。

而英特爾發言人則表示，該漏洞編號為 CVE-2017-5689，於 3 月底由安全研究者 Maksim Malyutin 發現並提交。目前，韌體升級修補程式正在開發中，後期修補程式的推送和分配必須由製造商加密簽名和其它配合。希望與設備製造商積極合作，在接下來幾周能盡快向終端用戶提供韌體升級修補程式。英特爾方面目前並未發現利用該漏洞的攻擊案例。

也有人指出，之所以英特爾忽略 Semiaccurate 的漏洞預警，很可能是因為 Semiaccurate 只是向英特爾強調 ME 這個架構存在「漏洞風險」，沒能指出或者證明這個漏洞的存在。而直到今年 3 月底安全研究者 Maksim 提交了該漏洞，英特爾便在一個月左右公佈並提出了相應解決方案。

應對措施

英特爾給出了相應的應對方案，指出要修復這個漏洞必須讓設備廠商更新韌體，當然用戶也可以先通過一些緩解措施進行快捷處理。比如對企業級伺服器下的晶片韌體進行升級，需要升級的版本如下所示：

• 第一代 Core family: 6.2.61.3535
• 第二代 Core family: 7.1.91.3272
• 第三代 Core family: 8.1.71.3608
• 第四代 Core family: 9.1.41.3024 and 9.5.61.3012
• 第五代 Core family: 10.0.55.3000
• 第六代 Core family: 11.0.25.3001
• 第七代 Core family: 11.6.27.3264

除了對韌體進行更新，英特爾也給出了系列處置建議：

1. 檢測你的系統中是否配置有 Intel AMT、SBA 或 ISM 技術架構;
2. 如果系統中配置有 Intel AMT、SBA 或 ISM 技術架構，檢測你的系統韌體是否受到影響;
3. 及時與系統 OEM 廠商對更新韌體進行覈實，更新韌體一般為四部分數位的版本號，如 X.X.XX.3XXX;
4. 如果 OEM 廠商還未發佈更新韌體，請及時對系統進行緩解操作。