Инженеры Intel пропатчили серьезную уязвимость в конфигурации микросхемы SPI Flash. Брешь в реализации алгоритмов чипа позволяла злоумышленнику блокировать процесс обновления BIOS или UEFI либо частично повреждать или удалять прошивку.

Под угрозой оказался широкий ряд устройств на базе нескольких поколений процессоров Intel. Ошибка затрагивает компьютеры, использующие следующие чипы:

  • Intel Core 5, 6, 7 и 8-го поколений
  • Pentium и Celeron N3520, N2920 и N28XX
  • Atom x7-Z8XXX, x5-8XXX, x5-E8000, x7-E39XX и C Series
  • Pentium J3710, N37XX, J4205 и N4200
  • Celeron J3XXX, J3455, J3355, N3350 и N3450
  • Xeon Scalable
  • Xeon E3 — семейства v5 и v6
  • Xeon E7 — семейства v2, v3 и v4
  • Xeon Phi x200
  • Линейка Intel Xeon D

Скомпрометированная микросхема взаимодействует с BIOS, UEFI и периферийными устройствами по протоколу SPI (Serial Peripheral Interface). Чип является обязательным компонентом процесса загрузки компьютера — в нем хранятся критически важные системные данные.

Обнаруженная уязвимость получила рейтинг 7,9 по шкале CVSS. Компания Intel уже выпустила обновленную версию прошивки, исправляющую недостаток. Предполагается, что конечные пользователи должны получить патч от производителей материнских плат или поставщиков компьютеров. Как заявляет вендор, сведений об успешной эксплуатации CVE-2017-5703 нет.

Intel планирует полностью отказаться от использования BIOS в своих платформах до 2020 года. На смену прежней технологии придет более безопасный стандарт UEFI. Его реализация пока сопряжена с некоторыми проблемами, однако специалисты уверены, что им удастся справиться с «детскими болезнями» нового интерфейса.

Год начался непросто для инженеров Intel — в январе стало известно о проблемах безопасности в фирменной технологии удаленного доступа AMT. Выставленные по умолчанию настройки прошивки позволяли злоумышленнику за полминуты получить полный контроль над устройством жертвы.

Чуть позже компания столкнулась с нестабильной работой компьютеров, чьи процессоры были пропатчены для устранения уязвимостей Spectre и Meltdown. Intel была вынуждена отозвать несколько обновлений и потратить несколько недель на разработку новых апдейтов.

Категории: Главное, Уязвимости