Razer終於修複了Blade筆記本電腦上的Intel ME固件漏洞

今年 2 月，Razer Blade 係列筆記本電腦被曝存在與 Intel ME 有關的固件漏洞。別有用心的攻擊者，或借此將惡意軟件植入受害者的 PC 中。 該安全漏洞的代號為 CVE-2018-4251，最初是在 macOS 10.13.5 之前的蘋果筆記本電腦上被發現的。但由於它屬於英特爾主板固件的一部分，許多廠商的產品都受到了影響。

（題圖 via： TechSpot ）

早在去年，蘋果就已經修複了這個安全漏洞。然而上個月的時候，安全研究員 Bailey Fox 再次公開披露了 Razer 計算機中存在的這一漏洞。

在私下裏通過 HackerOne 提醒了一個月後，掙紮許久的 Bailey Fox 決定在 Twitter 上曝光此事，以引起該公司的注意。他表示：

當前所有 Razer 筆記本電腦都預置了 Intel manufacturing Mode，擁有對 SPI 閃存的完整讀寫權限，這完全就是照搬的 CVE-2018-4251，該漏洞仍未被修複。

據悉，英特爾通過該模式來配置啟動驗證等設置，如果保持為開啟狀態，惡意軟件就可以借此對計算機展開控製，敞開包括“熔毀”（Meltdown）在內的漏洞大門。

更糟糕的是，惡意軟件和配置可以直接寫入到主板固件，使之難以被反病毒軟件給檢測到。即便用戶格掉了硬盤、並恢複了出廠設置，問題依然存在。

這件事的教訓，表明不被最終用戶所使用的製造模式，根本就不應該存在於主板固件之中。萬幸的時，Razer 於上周承認了這個問題，並發布了修複方案。

該公司一位發言人稱，他們已經對工廠發貨的英特爾芯片組計算機進行了修補。其餘已發貨的機型，亦可通過官方發布的軟件更新來修複。

【來源：cnBeta.COM】