发布日期:2024-10-18 02:00 点击次数:156
破绽频发、故障率高
应系统排查英特尔家具收集安全风险
1.安全破绽问题频发
2023年8月,英特尔CPU被曝存在Downfall破绽,该破绽是一种CPU瞬态实验侧信说念破绽,运用其AVX2或者AVX-512教导聚积的Gather教导,获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、舛误参数等敏锐数据。该破绽影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU,以考中1代至第4代至强处理器。骨子上,早在2022年,就有究诘者向英特尔讨教过该破绽,但英特尔在明知破绽存在的情况下,既不予承认,也未采用灵验举止,还抓续销售有破绽的家具,直至破绽被公开报说念,英特尔才被动采用破绽成立措施。已有五位受害者以自己及“全好意思CPU销耗者”代表的景色,于2023年11月在好意思国北加州联邦地点法院圣何塞分院,针对上述情况向英特尔发起集体诉讼。
淫荡妈妈无独到偶,2023年11月谷歌究诘东说念主员,又深化英特尔CPU存在高危破绽Reptar。运用该破绽,挫折者不仅不错在多佃户捏造化环境中获取系统中的个东说念主账户、卡号和密码等敏锐数据,还不错激发物理系统挂起或崩溃,导致其承载的其他系统和佃户出现拒却劳动情状。
2024年以来,英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等破绽,英特尔在家具性量、安全搞定方面存在的紧要颓势,标明其对客户极不负连累的派头。
2.可靠性差,冷落用户投诉
从2023年底启动,多半用户反应,使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时,会出现崩溃问题。游戏厂商以至在游戏中添加了弹窗处理,教会使用这些CPU的用户。视觉殊效使命室ModelFarm的乌有引擎支配和视觉殊效慎重东说念主Dylan Browne发帖说,其所在公司采用英特尔处理器的电脑故障率高达50%。
在用户反应聚积、无法掩藏的情况下,英特尔公司最终不得不承认家具存在踏实性问题,给出所谓初措施查讨教,将问题报怨于主板厂商成立了过高的电压。但立地遭到主板厂商的褒贬,默示其坐褥的主板是按照英特尔提供的数据进行BIOS设施开发,崩溃原因不在主板厂商。2024年7月,英特尔才发布声明,关于CPU经常崩溃事件给出了表现,承认由于格外的微代码算法向处理器发出过高的电压恳求,导致了部分第13、14代处理器出现不踏实情状。
2023年底就频现崩溃问题,半年以后英特尔公司方才敬佩问题并给出更新设施,且半年内给出的缓解措施也不凯旋,充分反应出英特尔在面对自己家具颓势时,不是积极坦诚面对问题,而是一味冷落、推诿和拖延。有专科东说念主士推测,其根柢原因是英特尔为了取得性能升迁,重获竞争上风,而主动葬送家具踏实性。另据报说念,好意思国“Abington Cole + Ellery”讼师事务所,已启动考核英特尔第13、14代处理器不踏实的问题,并将代表最终用户拿起集体诉讼。
3.假借而已搞定之名,行监控用户之实
英特尔荟萃惠普等厂商,共同筹谋了IPMI(智能平台搞定接口)技能圭表,宣称是为了监控劳动器的物理健康特征,技能上通过BMC(基板搞定放胆器)模块对劳动器进行搞定和放胆。BMC模块允许用户而已搞定开荒,可完了启动估量机、重装操作系统和挂载ISO镜像等功能。该模块曾经被曝存在高危破绽(如CVE-2019-11181),导致群宽敞半劳动器濒临被挫折放胆的极大安全风险。
除此除外,英特尔还在家具中集成存在严重破绽的第三方开源组件。以英特尔M10JNPSB劳动器主板为例,该家具撑抓IPMI搞定,当今罢手售后,2022年12月13日发布了临了一次固件更新包,分析可知其web劳动器为lighttpd,版块号为1.4.35,尽然是2014年3月12日的版块,而其时lighttpd的最新版块已升级至1.4.66,两者尽然进出9年之久,时辰跨度之大令东说念主诧异。这种不负连累的举止,将弘远劳动用具户的收集和数据安全,置于巨大的风险之中。
4.暗设后门,危害收集和信息安全
英特尔公司开发的自主运行子系统ME(搞定引擎),自2008年起被镶嵌险些总共的英特尔CPU中,是其鼎力扩充的AMT(主动搞定技能)的一部分,允许系统搞定员而已实验任务。只消该功能被激活,不管是否安设了操作系统,皆不错而已拜访估量机,基于光驱、软驱、USB等外设重定向技能,梗概完了物理级斗争用户估量机的成果。硬件安全众人Damien Zammit指出ME是一个后门,不错在操作系统用户无感的情况下,全皆拜访存储器,绕过操作系统防火墙,发送和接纳网路数据包,而且用户无法禁用ME。基于ME技能完了的英特尔AMT(主动搞定技能),曾在2017年被曝存在高危破绽(CVE-2017-5689),挫折者可通过成立登录参数中响应字段为空,完了绕过认证机制,平直登录系统,取得最高权限。
2017年8月,俄罗斯安全众人Mark Ermolov和Maxim Goryachy通过逆向技能找到了疑似NSA(好意思国国度安全局)成立的逃隐没关,该开关位于PCHSTERP0字段中的HAP位,但这次象征位并莫得在官方文档中记载。戏剧性的是,HAP全称为High Assurance Platform(高保险平台),属于NSA发起的构建下一代安全驻扎体系花样。
淌若NSA通过开启HAP位逃隐没关平直关闭ME系统,与此同期群众其他英特尔CPU皆默许运行ME系统,这就相等于NSA不错构建一个只消其我方有防护,其他总共东说念主皆在“裸奔”的理思监控环境。这关于包括中国在内天下列国的舛误信息基础设施来说,皆组成极地面安全恐吓。当今,ME上的软硬件是闭源的,其安全保险主要靠英特尔公司的片面甘愿,但事实标明英特尔的甘愿煞白无力,难以令东说念主信服。使用英特尔家具,给国度安全带来了严重隐患。
5.提议启动收集安全审查
据报说念,英特尔公司500多亿好意思元的群众年收入,近四分之一来自中国市集。2021年英特尔公司的CPU占国内台式机市集约77%,在札记本市集占约81%;2022年英特尔在中国的x86劳动器市集份额约91%。不错说英特尔在中国赚得盆满钵满,但这家公司反而按捺作念出损伤中国利益、恐吓中国国度安全的事情。
此前,好意思政府通过所谓《芯片和科学法案》,对中国半导体产业进行无端排挤和打压,英特尔公司即是这一法案的最大受益者。英特尔公司首席实验官帕特∙基辛格得手地将英特尔与好意思国政府绑定在沿途,成为好意思国芯片战术的最大配合公司,不仅得到了85亿好意思元的平直扶植,还有110亿好意思元的低息贷款。
为攀附好意思国政府,英特尔在所谓涉疆问题上积极站位打压中国,条目其供应商不得使用任何来自于新疆地区的劳工、采购家具或劳动,在其财报中更是将台湾省与中国、好意思国、新加坡并排,还主动对华为、中兴等中国企业断供停服,这是典型的“端起碗来吃饭,放下碗就砸锅”。
提议对英特尔在华销售家具启动收集安全审查小宝 探花,切实注意中国国度安全和中国销耗者的正当职权。