每經編輯｜每經記(ji)者 王晶     

每經記者 王晶 每經編(bian)輯 盧祥勇

《財富》雜志(zhi)報道稱，英特爾本周承認，該(gai)公(gong)司最近(jin)數年售(shou)出的(de)PC芯片幾乎全部存在多個嚴(yan)重的(de)軟件安全缺陷(xian)。這些(xie)安全漏洞(dong)允許黑客加(jia)載并運行未授(shou)權的(de)程序(xu)，能夠造成系統崩潰，或者是模擬系統安全核查。該(gai)漏洞(dong)主要針(zhen)對企業用戶。

對此，《每日經濟新聞(wen)》記者于11月22日下午聯系英(ying)特爾(er)方面了(le)解情況。英(ying)特爾(er)相(xiang)關負責人表示，PC芯(xin)片是存(cun)在安全漏洞，并不是安全缺陷。“我們發現后就跟所有設(she)備生產商（聯想(xiang)、戴爾(er)等(deng)）進(jin)行了(le)溝通(tong)聯系，告知他(ta)們要盡快升級(ji)，并提供了(le)相(xiang)關的軟(ruan)件升級(ji)、部件升級(ji)等(deng)。”

目前(qian)，對于PC芯(xin)(xin)片(pian)(pian)存在(zai)漏洞事件給(gei)用(yong)戶(hu)和英(ying)(ying)特爾帶(dai)來的(de)(de)影響還不明確。但記者注意(yi)到，谷(gu)歌等(deng)一些(xie)使用(yong)英(ying)(ying)特爾芯(xin)(xin)片(pian)(pian)的(de)(de)大型科技(ji)公司已經表示，計劃關(guan)閉英(ying)(ying)特爾芯(xin)(xin)片(pian)(pian)的(de)(de)管理引擎，以消(xiao)除安(an)全漏洞。

多款PC芯片存安全漏洞

《財富》雜志(zhi)稱，這些(xie)安全(quan)漏洞主要存在于英特爾CPU上的“管理引擎”功(gong)能。

公開資料(liao)顯(xian)示，管(guan)理(li)引(yin)擎是一個獨立的(de)(de)子系統(tong)(tong)，位(wei)于(yu)英特爾芯片組的(de)(de)獨立微處理(li)器上(shang)，它(ta)允許管(guan)理(li)員遠程控制從應用更新(xin)到故障排(pai)除等(deng)所有(you)類型的(de)(de)功能(neng)。由于(yu)擁(yong)有(you)對(dui)主(zhu)系統(tong)(tong)處理(li)器廣泛的(de)(de)訪問和控制權，管(guan)理(li)引(yin)擎中的(de)(de)缺陷(xian)對(dui)于(yu)攻(gong)擊者來說是一個很(hen)大的(de)(de)入口，部(bu)分(fen)人(ren)士甚(shen)至稱管(guan)理(li)引(yin)擎造(zao)成(cheng)了不必要(yao)的(de)(de)安全(quan)隱患。

美國(guo)一位研發開發人員Matthew Garrett表(biao)示：“這個漏(lou)洞的(de)最大(da)威脅在(zai)于，企(qi)業環境下的(de)黑客(ke)只需(xu)要獲得一臺(tai)PC設備(bei)的(de)接(jie)入(ru)權限就可以獲得大(da)量(liang)設備(bei)的(de)遠程(cheng)控制權。”

值得注意(yi)的是(shi)，這些漏洞(dong)幾(ji)乎涉(she)及所有(you)(you)英特(te)爾企業版服務器芯片技(ji)術(shu)，涉(she)及版本號為6.x、7.x、8.x、9.x、10.x、11.5、以及11.6系列(lie)的所有(you)(you)固件產品，也就是(shi)說，近年來英特(te)爾出售所有(you)(you)具有(you)(you)遠超(chao)控(kong)制功能的芯片都(dou)會受到影響。

《每日經濟(ji)新聞》記者(zhe)于11月22日下午聯(lian)系英(ying)(ying)(ying)特爾(er)方面核實并(bing)了解情況。英(ying)(ying)(ying)特爾(er)回應稱，“我們(men)近期對英(ying)(ying)(ying)特爾(er)管理引擎（ME）、英(ying)(ying)(ying)特爾(er)服(fu)務(wu)器(qi)平(ping)臺服(fu)務(wu)（SPS）以及英(ying)(ying)(ying)特爾(er)可信執行引擎（TXE）固件產品進行了一次綜合安(an)全(quan)評估，并(bing)在此評估中發現了安(an)全(quan)漏洞(dong)。這些(xie)安(an)全(quan)漏洞(dong)有(you)可能會影響安(an)裝有(you)上述產品特定(ding)版(ban)本的PC、服(fu)務(wu)器(qi)和(he)物聯(lian)網平(ping)臺產品。”

英特(te)爾表(biao)示，用戶應(ying)當聯系(xi)(xi)PC制造商(shang)修復漏洞。“我們已(yi)經(jing)和設備制造商(shang)一(yi)起合作，通過固(gu)件(jian)升級和軟件(jian)更新來解決這些安全漏洞。現在(zai)，這些升級更新已(yi)經(jing)就(jiu)緒。我們謹提醒(xing)各企業、系(xi)(xi)統(tong)管(guan)理員和系(xi)(xi)統(tong)所有者，如果(guo)他(ta)們的(de)計算機(ji)或設備采用了上(shang)述(shu)英特(te)爾產品，應(ying)盡(jin)快與他(ta)們相應(ying)的(de)設備制造商(shang)或供應(ying)商(shang)聯系(xi)(xi)核實，并盡(jin)快安裝與其相適用的(de)升級更新。”

安全漏洞帶來的影響

記者打開英特爾官網注意到，公司已經(jing)發布了(le)(le)一個可下載的(de)檢測工具，以便Windows和Linux管理員檢查他們的(de)系統(tong)是否(fou)已經(jing)暴露。與(yu)此(ci)同時，英特爾還(huan)提供(gong)了(le)(le)針對漏洞的(de)更新或補丁(ding)的(de)鏈接給用戶。

不過，《財富(fu)》雜志稱，目前只有聯(lian)想一(yi)家PC廠(chang)商設(she)法幫助用戶進行升級(ji)，雖然其他(ta)一(yi)些PC廠(chang)商在(zai)他(ta)們(men)的官網上(shang)也公(gong)布了(le)修復措施，但一(yi)些受(shou)影(ying)響的芯片用在(zai)了(le)智能聯(lian)網設(she)備上(shang)，可能從未(wei)進行過升級(ji)。

英特爾相關(guan)負責人則告訴記(ji)者，PC芯片是存在(zai)安全(quan)(quan)漏(lou)洞，并不是安全(quan)(quan)缺陷。安全(quan)(quan)漏(lou)洞是指，有可(ke)能(neng)會被攻擊者利(li)用進(jin)行安全(quan)(quan)攻擊，這(zhe)只是一種潛在(zai)的(de)可(ke)能(neng)。“我(wo)們發現后(hou)就跟所(suo)有設備生產商（聯(lian)想(xiang)、戴爾等）進(jin)行了(le)溝通聯(lian)系(xi)，告知他(ta)們要盡快升(sheng)級，并提供(gong)了(le)相關(guan)的(de)軟(ruan)件升(sheng)級、部件升(sheng)級等。”

目前，對于PC芯片存在漏洞事(shi)件給(gei)用(yong)戶和英特(te)爾帶來的影響還不明確。

密(mi)碼學工程師兼研究員Filippo Valsorda表示(shi)：“這看起來很糟糕，但我們還不(bu)清(qing)楚這些漏(lou)洞(dong)是(shi)(shi)否(fou)會被(bei)輕易利用。受影(ying)響的(de)設備非常(chang)廣泛，而不(bu)僅僅是(shi)(shi)服務(wu)器。英特爾似乎非常(chang)擔心，立即就做出了(le)反(fan)應，很快發布了(le)檢(jian)測工具。”不(bu)過，好消息是(shi)(shi)，該(gai)漏(lou)洞(dong)主(zhu)要(yao)針對(dui)的(de)用戶并不(bu)是(shi)(shi)個人(ren)用戶，而是(shi)(shi)企業用戶。

此外(wai)，記者注意(yi)到，谷歌等一些使用(yong)英(ying)特(te)爾芯(xin)片的(de)大(da)型科技公司已經表示，將(jiang)計(ji)劃關閉(bi)英(ying)特(te)爾芯(xin)片的(de)管(guan)理引擎(qing)，以消除安全漏洞。

不過，上述英(ying)特爾相關(guan)負責人表(biao)示(shi)，本次披露的(de)PC芯(xin)片存在的(de)安全漏洞截(jie)止(zhi)目前并(bing)沒有實際引(yin)(yin)起企(qi)(qi)業(ye)的(de)損失，企(qi)(qi)業(ye)選擇(ze)關(guan)閉(bi)英(ying)特爾芯(xin)片的(de)管理引(yin)(yin)擎是企(qi)(qi)業(ye)基于自身的(de)考(kao)慮(lv)，不會對(dui)其有太大的(de)影(ying)響。

這并(bing)不(bu)(bu)(bu)是英(ying)(ying)特(te)爾第(di)一次(ci)被曝出產品存在(zai)安(an)全(quan)漏(lou)(lou)洞(dong)問題(ti)。早在(zai)2015年，美國巴特(te)爾紀(ji)念研究所信息安(an)全(quan)研究員克里斯托(tuo)弗(fu).多(duo)瑪斯(Christopher Domas)就在(zai)黑(hei)帽安(an)全(quan)大會上(shang)表示，利(li)用(yong)英(ying)(ying)特(te)爾x86處理器存在(zai)的一個漏(lou)(lou)洞(dong)，黑(hei)客可(ke)以(yi)在(zai)計算(suan)機(ji)底(di)層(ceng)固件(jian)中安(an)裝rootkit惡(e)意軟件(jian)；而今年5月(yue)，英(ying)(ying)特(te)爾芯(xin)片還出現了一個遠(yuan)程劫持漏(lou)(lou)洞(dong)，黑(hei)客利(li)用(yong)漏(lou)(lou)洞(dong)可(ke)以(yi)獲得大量計算(suan)機(ji)的控制權，并(bing)且不(bu)(bu)(bu)需要(yao)輸(shu)入密碼。作(zuo)為全(quan)球知名的芯(xin)片生(sheng)產廠商(shang)，不(bu)(bu)(bu)少(shao)用(yong)戶都希望英(ying)(ying)特(te)爾此類的安(an)全(quan)漏(lou)(lou)洞(dong)問題(ti)盡可(ke)能少(shao)出現。