姓名：于彤彤??? 學(xué)號：17101223401

本文轉(zhuǎn)自? http://www.sohu.com/a/205914297_161062

【嵌牛導(dǎo)讀】：在本月月初，安全公司 Positive Technologies 發(fā)布報(bào)告稱，英特爾管理引擎（Intel Management Engine，以下簡稱 IME）存在嚴(yán)重漏洞，黑客能夠通過該漏洞完全控制目標(biāo)計(jì)算機(jī)，甚至關(guān)機(jī)狀態(tài)下都可以。本篇文章就IME漏洞作以簡單的介紹。

【嵌牛鼻子】：完全獨(dú)立運(yùn)行、用戶無法移除、MINIX

【嵌牛提問】：對于個人來說如何避免CPU的漏洞帶來的隱患？

【嵌牛正文】：

?????? 英特爾承認(rèn)公司最近數(shù)年售出的PC芯片全部存在多個嚴(yán)重的軟件安全缺陷，包括2015年以后推出的第六代、第七代以及最新的第八代酷睿芯片。

那么這個漏洞的危險(xiǎn)性究竟有多高？

?????? 讓我們先來認(rèn)識一下 IME，IME最開始是用來監(jiān)控、協(xié)調(diào)處理器芯片組中諸多模塊的，以獲得最好的性能和功耗平衡。而后期英特爾又為其賦予了檢查操作系統(tǒng)、管理員遠(yuǎn)程控制（企業(yè)中經(jīng)常會用到），還有從應(yīng)用更新到故障排除等等一系列功能。英特爾也在官網(wǎng)中表示系統(tǒng)出現(xiàn)任何問題都不可能是IME 的故障，因?yàn)?IME 本質(zhì)上運(yùn)行在一顆微處理器上，也側(cè)面證明了 IME 確實(shí)是可以完全獨(dú)立運(yùn)行的。

可能還是有朋友不理解，為什么一塊負(fù)責(zé)運(yùn)算的 CPU 也會出現(xiàn)漏洞呢？其實(shí) IME 一開始并不在 CPU中的，隨著越來越多的越來越多的芯片、功能被集成到 CPU 的芯片組中，酷睿處理器早就不只是一個負(fù)責(zé)計(jì)算的工具了，反而更像是移動 SoC那樣的芯片組，而 IME 也隨著這個過程進(jìn)入了 CPU 之中，位于南橋 PCH 芯片組中。

正因如此，有不少人會以為 IME 的這個漏洞會擁有最高的運(yùn)行權(quán)限，也就是 Ring -3 （我們平時用的軟件權(quán)限為 Ring-3，最低；操作系統(tǒng)為 Ring 0，較高；而 BIOS 的權(quán)限是 RING -2），如果運(yùn)行 IME 的權(quán)限為Ring-3，那一旦被控制，真的是可以為所欲為了，用戶甚至連訪問黑客植入的惡意軟件都做不到，更別說清除了。甚至還有人認(rèn)為，這樣擁有最高權(quán)限的漏洞，很有可能就是英特爾故意留的后門。畢竟英特爾早在2008年就已經(jīng)開始使用 IME技術(shù)了，而因?yàn)檫@項(xiàng)技術(shù)能夠獨(dú)立于系統(tǒng)和其他硬件來完成一些管理任務(wù)，并且用戶無法移除它（因?yàn)樗俏锢泶嬖诘模阒荒荜P(guān)掉它的固件），所以電子前沿基金會（EFF）一直很反對在CPU 中使用 IME?？墒怯⑻貭栆恢碧亓ⅹ?dú)行，直到這次東窗事發(fā)，這么看來確實(shí)值得懷疑。

我們該怎么對待這個漏洞呢？

雖然對于 IME 的質(zhì)疑從來沒有間斷過，但是知道今年安全公司 Positive Technologies 表示他們已能夠通過 USB 接口，在運(yùn)行 IME 的計(jì)算機(jī)上執(zhí)行未經(jīng)簽名的代碼，這才引起了英特爾的重視，然后在近日發(fā)布了聲明。

其實(shí)早在這家安全公司發(fā)布聲明之前，谷歌就已經(jīng)發(fā)現(xiàn) IME 運(yùn)行的是一個名為 MINIX 的操作系統(tǒng)，正是它獲取了 Ring-3權(quán)限，而谷歌一直都在嘗試著從自家服務(wù)器的 CPU 中移除 MINIX，但是卻沒能成功。而在這次英特爾宣布 IME存在漏洞之后，谷歌也第一時間停止了 IME 固件。而英特爾自己表示，他們已經(jīng)開發(fā)了補(bǔ)丁軟件來修復(fù)問題，現(xiàn)在已經(jīng)有聯(lián)想和戴爾提供了修復(fù)固件，并且還建議企業(yè)、用戶應(yīng)該與設(shè)備制造商和供應(yīng)商核實(shí)系統(tǒng)升級情況，并且盡快進(jìn)行任何可用的升級。不過對于實(shí)在不放心的用戶來說，直接關(guān)閉掉IME 也是不錯的選擇，在設(shè)備管理器中就能找到它哦！

如果你連關(guān)閉固件也不放心，那考慮不含 IME 組件的產(chǎn)品或者是轉(zhuǎn)投AMD 或許也不錯，舊金山就有一家名為 Pruism 的公司主打禁用IME 的筆記本產(chǎn)品，該公司 CEO 表示 Purism 之所以很早就禁用了 IME，是因?yàn)樗麄冎?IME從威脅變成現(xiàn)實(shí)只是時間上的問題，一名攻擊者可以再不借助任何高級軟硬件的情況下完全控制一臺計(jì)算機(jī)，不管是加密存儲、密碼密匙、機(jī)密文件全都無所遁形。

這事情背后究竟是什么，只有英特爾知道了

????? 不過話說回來，雖然 IME 確實(shí)是一個非常嚴(yán)重的漏洞，但是是不是真的能有大家說的那么可怕其實(shí)還是要打上一個問號，有專業(yè)人士表示，雖然 IME 存在于 CPU 芯片組中，但兩者其實(shí)是獨(dú)立工作的，所以 IME 或許并不能控制 CPU。而且我們的 PC 中每個硬件其實(shí)都會有固件，比如網(wǎng)卡、顯卡等等，只不過 IME存在于芯片組中所以格外受關(guān)注，但其實(shí)英特爾芯片組中還有英特爾服務(wù)器平臺（Server Platform）和英特爾可信執(zhí)行引擎（Trusted Execution Engine）等部分呢，不少大神認(rèn)為固件存在漏洞是非常正常的事情。

至于后門的問題，只有英特爾自己知道有沒有了，包括前面提到的 MINIX 操作系統(tǒng)的作者 Andrew S. Tanenbaum 也很擔(dān)憂，他表示因?yàn)樽约簺]有參與英特爾的這個項(xiàng)目，并暗示如果有后門與自己無關(guān)。