據(jù)BleepingComputer網(wǎng)站報(bào)道，英特爾公布了三個(gè)影響范圍廣泛的自家處理器高危漏洞，能夠允許攻擊者和惡意軟件在設(shè)備系統(tǒng)上獲得增強(qiáng)權(quán)限。

其中兩個(gè)漏洞為CVE-2021-0157 和 CVE-2021-0158，CVSS v3得分均為 8.2，屬高嚴(yán)重性級(jí)別，它們由反病毒預(yù)警軟件開(kāi)發(fā)商SentinelOne 發(fā)現(xiàn)。其中前者涉及某些英特爾處理器的 BIOS 固件中的控制流管理不足，而后者則依賴于對(duì)同一組件的不正確輸入驗(yàn)證。

根據(jù)英特爾提供的信息，受影響的處理器有如下系列：

• 英特爾至強(qiáng)E系列處理器
• 英特爾至強(qiáng)E3 v6系列處理器
• 英特爾至強(qiáng)W系列處理器
• 英特爾第3代至強(qiáng)可擴(kuò)展處理器
• 英特爾第 11 代智能酷睿處理器
• 英特爾第10代智能酷睿處理器
• 英特爾第7代智能酷睿處理器
• 英特爾酷睿 X 系列處理器
• 英特爾賽揚(yáng)N系列處理器
• 英特爾奔騰Silver系列處理器

英特爾尚未就這兩個(gè)缺陷公布更多的技術(shù)細(xì)節(jié)，他們建議用戶通過(guò)可用的 BIOS 更新來(lái)修補(bǔ)漏洞。但由于主板供應(yīng)商并不會(huì)長(zhǎng)期為其產(chǎn)品提供安全支持，比如在5年前問(wèn)世的英特爾第7代酷睿處理器，因而這些問(wèn)題并不能在上述受影響的產(chǎn)品中得到根本性修復(fù)。

在同一天，英特爾單獨(dú)公布了第三個(gè)漏洞——CVE-2021-0146，由網(wǎng)絡(luò)安全公司Positive Technologies發(fā)現(xiàn)。這也是一個(gè)高嚴(yán)重性 (CVSS 7.2) 特權(quán)提升漏洞，可能允許攻擊者訪問(wèn)高度敏感的信息，英特爾多款奔騰和凌動(dòng)系列處理器因此受到影響。

這個(gè)漏洞的特殊之處，在于它還影響了一些汽車產(chǎn)品，比如搭載了英特爾凌動(dòng) E3900的特斯拉 Model 3。

英特爾已發(fā)布固件更新以緩解此缺陷，用戶可通過(guò)系統(tǒng)制造商提供的補(bǔ)丁進(jìn)行修補(bǔ)。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/high-severity-bios-flaws-affect-numerous-intel-processors/