产品支持

英特尔® 管理引擎关键固件更新 (Intel-SA-00086)


上次审核日期: 31-Jan-2018
文章 ID: 000025619

英特尔® 管理引擎(英特尔 ® 6. x/7. x/8. x/9. x/10. x/11. x)、英特尔®可信执行引擎 (英特尔 TXE 3.0) 和英特尔®服务器平台服务 (英特尔® SPS 4.0) 漏洞 (Intel-SA-00086)

注意本文介绍与英特尔® 管理引擎 固件中找到的安全漏洞相关的问题。本文包含与处理器侧通道漏洞相关的信息 (称为 "崩溃/幽灵")。如果您要查找有关崩溃/幽灵问题的信息, 请转到侧面通道分析事实和英特尔®产品

针对外部研究人员发现的问题, 英特尔对以下内容进行了深入全面的安全审查, 目的是提高固件的韧性:

  • 英特尔® 管理引擎(英特尔® i)
  • 英特尔®可信执行引擎 (英特尔 TXE)
  • 英特尔®服务器平台服务 (SPS)

英特尔已经确定了可能会影响某些 pc、服务器和物联网平台的安全漏洞。

使用英特尔®固件版本 6. x 11 x 的系统, 使用 SPS 固件版本4.0 的服务器, 以及使用 TXE 版本3.0 的系统受到影响。您可能会在某些处理器上找到这些固件版本:

  • 第一、第二、第三、第四、第五、第六、第七和第八生成英特尔® 酷睿™ 处理器 家庭
  • 英特尔® 至强® 处理器 E3-1200 v5 和 v6 产品系列
  • 英特尔® 至强® 处理器 可伸缩系列
  • 英特尔® 至强® 处理器 W 家庭
  • 英特尔 Atom® C3000 处理器系列
  • 阿波罗湖英特尔 Atom®处理器 E3900 系列
  • 阿波罗湖英特尔®奔腾®m 处理器
  • 英特尔® 奔腾® 处理器 G 系列
  • 英特尔®赛扬®d、N 和 J 系列处理器

要确定所识别的漏洞是否影响系统, 请使用下面的链接下载并运行 Intel-SA-00086 检测工具。

常见问题部分

可用资源

为 Microsoft 和 Linux 用户提供的资源

注意早于1.0.0.146 的 INTEL-SA-00086 检测工具版本未检查 CVE-2017-5711 和 CVE-2017-5712。这些 CVEs 只影响使用英特尔®主动管理技术 (英特尔 AMT) 8 版的系统. x-10. x。鼓励使用英特尔 AMT 8. x-10 的系统的用户安装版本 1.0.0.146, 或以后。安装此版本有助于验证其系统在 INTEL-SA-00086 安全咨询方面的状态。您可以通过运行该工具并在 "输出" 窗口中查找版本信息来检查 INTEL-SA-00086 检测工具的版本。

系统/主板制造商的资源

注意其他系统/主板制造商的链接将提供时可用。如果您的制造商未列出, 请与他们联系以获取有关所需软件更新的可用性的信息。


常见问题解答:

问: Intel-SA-00086 检测工具报告说我的系统很脆弱。我该怎么办?
A:
英特尔已为系统和主板制造商提供必要的固件和软件更新, 以解决安全咨询 Intel-SA-00086 中确定的漏洞。

请与系统或主板制造商联系, 了解他们为最终用户提供更新的计划。

一些制造商为英特尔提供了直接链接, 让他们的客户获得更多信息和可用软件更新 (请参阅下面的列表)。

问: 为什么需要联系我的系统或主板制造商?为什么英特尔不能为我的系统提供必要的更新?
A:
由于系统和主板制造商执行的管理引擎固件自定义, 英特尔无法提供通用更新。

问: 我的系统被 Intel-SA-00086 检测工具报告为可能易受攻击。我该怎么办?
A:
状态可能是易受攻击的通常在以下任一驱动程序未安装时出现:

  • 英特尔® 管理引擎 接口 (英特尔美孚) 驱动程序
  • 英特尔®可信执行引擎接口 (英特尔 TXEI) 驱动程序
请与系统或主板制造商联系以获取系统的正确驱动程序。

问: 我的系统或主板制造商没有显示在您的列表中。我该怎么办?
A:
下面的列表显示了向英特尔提供信息的系统或主板制造商的链接。如果未显示制造商, 请使用其标准支持机制 (网站、电话、电子邮件等) 与他们联系以寻求帮助。

问: 攻击者需要使用哪些类型的访问来利用已识别的漏洞?
A:
如果设备制造商启用了英特尔推荐的闪存描述符写保护, 攻击者需要物理访问到平台的固件闪存以利用在中标识的漏洞:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
攻击者通过在物理上连接到平台闪存的闪存程序员手动更新平台, 从而获取物理访问权限。闪存描述符写保护是在制造结束时通常设置的平台设置。flash 描述符写保护保护 flash 上的设置在制造完成后被恶意或无意地更改。

如果设备制造商不启用英特尔推荐的闪存描述符写保护, 攻击者需要操作内核访问 (逻辑访问, 操作系统环 0)。攻击者需要通过恶意的平台驱动程序向平台应用恶意固件映像来利用已识别的漏洞。

通过网络与有效的管理英特尔® 管理引擎 凭据结合使用, 在 CVE-2017-5712 中标识的漏洞是可用的远程。如果有效的管理凭据不可用, 则该漏洞是不可利用的。

如果需要进一步的帮助, 请与英特尔客户支持 联系以提交联机服务请求。

- 此内容根据原文经过人力和电脑翻译合成。此内容作为一般资料信息仅供参考,不应依赖其完整性或准确性。

本文适用于:

有效产品

英特尔® 服务器平台服务固件