英特爾列出了 16個新的 BIOS 固件漏洞

近日英特爾釋出了一份安全公告，其中包含16 個新發現的與 BIOS 相關的漏洞，這些漏洞允許攻擊者在本地計算機上使用拒絕服務和特權更新攻擊，同時繞過作業系統及其相關的安全措施。據英特爾稱，這些問題影響了其第 6 代至第 11 代酷睿處理器及其至強系列，包括 W、E 和 D 型号。

其中十個漏洞的嚴重性等級為“高”，這意味着它們允許不受限制地通路機器，而三個被評為“中”，一個被評為“低”。這些新漏洞不包括在最近的Intel/AMD漏洞清單中，也與最近公布的影響HP、Dell、Lenovo 和其他供應商的 BIOS 漏洞無關。

盡管如此，這 16 個新漏洞與某些漏洞相似，因為它們與 BIOS 相關。所有 16 個都允許攻擊者劫持計算機的 BIOS 以獲得對本地計算機的通路權限，進而通路敏感資料。值得慶幸的是，英特爾指出，所有這些問題隻有在攻擊者可以實體通路機器的情況下才能被利用，是以它們無法被遠端利用。對于擁有安全位置的企業來說，這些漏洞不應該像個人筆記本電腦那樣令人擔憂，因為惡意行為者可以輕松通路機器。

這些問題特别依賴于英特爾 BIOS 固件中發現的各種錯誤，包括控制流管理不足、緩沖區溢出、指針問題、驗證不正确等等。所有這些都允許攻擊者在需要時提升權限。其他包括不正确的通路控制和不正确的預設權限，可能允許攻擊者對本地計算機使用拒絕服務攻擊。

這些與 BIOS 相關的漏洞中的大多數都非常具有影響力，因為它們可以有效地繞過本地 PC 上的幾乎所有安全措施。大多數安全措施作為作業系統的一部分運作，或者在作業系統之上運作，它僅在 BIOS 運作其初始 POST（開機自檢）後加載。這意味着所有正常的安全對策都無法保護系統 BIOS。

英特爾表示正在釋出固件更新以緩解漏洞，但尚未釋出正式的路線圖。然而，該公司表示，建議的行動方案是“更新到系統制造商提供的解決這些問題的最新版本”。不過，尚不清楚這些更新是否可用。您将在下方找到受影響平台的清單。

受影響的産品：

第二代英特爾至強可擴充處理器家族

英特爾至強可擴充處理器系列

英特爾至強處理器 W 系列

英特爾至強處理器 E 系列

英特爾至強處理器 D 系列

第 11 代英特爾酷睿處理器家族

第 10 代英特爾酷睿處理器家族

第 9 代英特爾酷睿處理器家族

第八代英特爾酷睿處理器家族

第七代英特爾酷睿處理器家族

第六代英特爾酷睿處理器家族

英特爾酷睿 X 系列處理器家族

英特爾淩動處理器 C3XXX 系列。