時間:2019-04-09 來源:互聯網 瀏覽量:
今年 2 月,Razer Blade 係列筆記本電腦被曝存在與 Intel ME 有關的固件漏洞。別有用心的攻擊者,或借此將惡意軟件植入受害者的 PC 中。 該安全漏洞的代號為 CVE-2018-4251,最初是在 macOS 10.13.5 之前的蘋果筆記本電腦上被發現的。但由於它屬於英特爾主板固件的一部分,許多廠商的產品都受到了影響。
(題圖 via: TechSpot )
早在去年,蘋果就已經修複了這個安全漏洞。然而上個月的時候,安全研究員 Bailey Fox 再次公開披露了 Razer 計算機中存在的這一漏洞。
在私下裏通過 HackerOne 提醒了一個月後,掙紮許久的 Bailey Fox 決定在 Twitter 上曝光此事,以引起該公司的注意。他表示:
當前所有 Razer 筆記本電腦都預置了 Intel manufacturing Mode,擁有對 SPI 閃存的完整讀寫權限,這完全就是照搬的 CVE-2018-4251,該漏洞仍未被修複。
據悉,英特爾通過該模式來配置啟動驗證等設置,如果保持為開啟狀態,惡意軟件就可以借此對計算機展開控製,敞開包括“熔毀”(Meltdown)在內的漏洞大門。
更糟糕的是,惡意軟件和配置可以直接寫入到主板固件,使之難以被反病毒軟件給檢測到。即便用戶格掉了硬盤、並恢複了出廠設置,問題依然存在。
這件事的教訓,表明不被最終用戶所使用的製造模式,根本就不應該存在於主板固件之中。萬幸的時,Razer 於上周承認了這個問題,並發布了修複方案。
該公司一位發言人稱,他們已經對工廠發貨的英特爾芯片組計算機進行了修補。其餘已發貨的機型,亦可通過官方發布的軟件更新來修複。
【來源:cnBeta.COM】
