支援

Intel® 管理引擎重大韌體更新 (Intel-SA-00086)


最近查看日期: 15-Mar-2018
文章 ID: 000025619

Intel® 管理引擎 (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x)、Intel® 受信任的執行引擎 (Intel® TXE 3.0) 與 Intel® 伺服器平台服務 (Intel® SPS 4.0) 弱點 (Intel-SA-00086)

注意本文說明 Intel® 管理引擎韌體中的安全弱點的相關問題。此文件並不包含處理器側通道弱點 (稱為Meltdown/Spectre)的相關資訊。如果您要尋找的問題不是 Meltdown/Spectre 問題的相關資訊,請前往側通道分析數據和 Intel® 產品

為因應外部研究人員識別的問題,Intel 已進行下列深入的全方位安全性檢閱,其目標為增強韌體恢復能力:

  • Intel® 管理引擎
  • Intel® 受信任的執行引擎
  • Intel® 伺服器平台服務 (SPS)

Intel 已經找出安全性漏洞,可能會影響特定的電腦、伺服器與物聯網平台。

使用 Intel ME 韌體版本 6.x-11.x 的系統、使用 SPS 韌體版本 4.0 的伺服器,以及使用 TXE 3.0 版的系統會受到影響。您可能會在特定的處理器上找到這些韌體版本:

  • 第 1 代、第 2 代、第 3 代、第 4 代、第 5 代,第 6 代,第 7 代與第 8 代 Intel® Core™ 處理器系列產品
  • Intel® Xeon® 處理器 E3-1200 v5 和 v6 產品系列
  • Intel® Xeon® 處理器可擴充系列
  • Intel® Xeon® 處理器 W 產品
  • Intel Atom® C3000 處理器系列
  • Apollo Lake Intel Atom® 處理器 E3900 系列
  • Apollo Lake Intel® Pentium® 處理器
  • Intel® Pentium® 處理器 G 系列
  • Intel® Celeron® G、N 與 J 系列處理器

若要判斷識別的弱點是否影響您的系統,請使用下方連結下載並執行 Intel-SA-00086 偵測工具。

常見問答集一節

可用的資源

Microsoft 與 Linux* 使用者適用的資源

注意1.0.0.146 版以前的 INTEL-SA-00086 偵測工具不會檢查 CVE-2017-5711 和 CVE-2017-5712。這些 CVE 只會影響具 Intel® 主動管理技術 (Intel® AMT) 版本 8.x 10.x 的系統。巨 Intel AMT 8.x-10.x 的系統使用者要安裝 1.0.0.146 版或以上。安裝這個版本能協助確認其系統對於 INTEL-SA-00086 安全通報的狀態。藉由執行工具,並在輸出視窗中尋找版本資訊,來查看 INTEL-SA-00086 偵測工具的版本。

來自系統/主機板製造廠商的資源

注意若有的話,將會提供連結以獲取其他系統/主機板製造廠商。如果未列出您的製造商,請洽詢他們提供必要的軟體更新的資訊。


常見問答集:

問:Intel-SA-00086 偵測工具報告我的系統容易受到攻擊,我該怎麼辦?
答:
Intel 在此提供系統與主機板製造商所需的韌體和軟體更新來解決安全通報 Intel-SA-00086 中發現的弱點。

請聯絡您的系統或主機板製造商,以得知他們有關提供更新給一般使用者的計劃。

有些製造商已提供 Intel 客戶的直接連結,以取得其他資訊與可用的軟體更新(請參閱下面的清單)。

問:我為何需要與我的系統或主機板製造商聯絡?為何 Intel 無法提供我系統所需的更新?
答:
Intel 將無法提供的通用的更新,因為管理引擎韌體自訂內容是由系統和主機板製造商執行。

問:我的系統被 Intel-SA-00086 偵測工具報告為可能具有弱點。我該怎麼辦?
答:通常會看到
可能具有弱點的狀態,是未安裝下列其中一項驅動程式時:

  • Intel® Management Engine Interface (Intel® MEI) 驅動程式
  • Intel® 受信任的執行引擎介面 (Intel® TXEI) 驅動程式
請聯絡您的系統或主機板製造商,以取得適用於您系統的正確驅動程式。

問:我的系統或主機板製造廠商未顯示在您的清單中。我該怎麼辦?
答:
下列清單顯示提供 Intel 資訊的系統或主機板製造商的連結。如果未顯示您的製造商,請使用他們的標準支援機制(網站、電話、電子郵件等)與其聯絡以尋求協助。

問:攻擊者需要哪些類型的存取來入侵辨識的弱點?
答:
設備製造商啟用 Intel 推薦的快閃描述元寫入保護,如果攻擊者想要入侵所辨識的弱點,必須要能實體存取韌體的快閃記憶體:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
攻擊者透過實體連接平台的快閃記憶體的快閃程式設計工具,利用惡意的韌體影像,手動更新平台,以取得實體存取權。快閃描述元寫入保護通常是由製造方設定的平台設定。快閃描述元寫入保護可防範快閃記憶體上的設定在製造完成後遭惡意或非蓄意變更。

如果設備製造商未啟用 Intel 推薦的快閃描述元寫入保護,攻擊者需要作業系統核心存取(邏輯存取,作業系統 Ring 0)。攻擊者需要有此存取權,才能入侵所識別的弱點,透過惡意的平台驅動程式將惡意的韌體影像套用到平台。

CVE-2017-5712 中識別的弱點是可透過網路,並結合有效管理的 Intel® 管理引擎認證,遠端進行存取。如果無法取得有效的系統管理認證,就無法利用弱點。

如需進一步協助,請聯絡 Intel 客戶支援提出線上服務要求。

尋找相關產品的支援

活躍產品

Intel® 伺服器平台服務韌體