（文章來源：cnBeta）

安全研究人員警告說，英特爾處理器內(nèi)部存在重大的新安全漏洞，它可能會破壞基于硬件的加密和DRM保護(hù)。該漏洞存在于過去五年中發(fā)布的Intel處理器硬件當(dāng)中，并且可能使攻擊者創(chuàng)建在硬件級別運(yùn)行，傳統(tǒng)惡意軟件無法檢測到的特殊惡意軟件（例如鍵盤記錄程序）。不過，英特爾最新的第10代處理器并不容易受到攻擊。

安全公司Positive Technologies發(fā)現(xiàn)了該缺陷，并警告說它可能會破壞硬件加密，硬件身份驗(yàn)證和現(xiàn)代DRM保護(hù)等重要技術(shù)的信任鏈。安全研究員馬克·埃莫洛夫表示，此漏洞危及英特爾為信任平臺和安全基礎(chǔ)所做的一切。

該漏洞的根源是英特爾的融合安全管理引擎（CSME），它是英特爾芯片的一部分，負(fù)責(zé)保護(hù)在英特爾處理器電腦上運(yùn)行的所有固件。英特爾此前已經(jīng)修補(bǔ)了CSME中的漏洞，但研究人員警告說，CSME固件在系統(tǒng)啟動初期沒有受到保護(hù)，因此仍然容易受到攻擊。

利用該漏洞的成功攻擊需要技能，并且在大多數(shù)情況下需要物理訪問電腦，但是其他惡意軟件可能會繞過OS級保護(hù)來執(zhí)行本地攻擊，而某些攻擊可能由其他惡意軟件執(zhí)行。這可能導(dǎo)致來自加密硬盤的數(shù)據(jù)被解密，偽造的硬件ID，甚至導(dǎo)致提取受DRM保護(hù)的數(shù)字內(nèi)容。

英特爾對新的安全漏洞輕描淡寫，指出它可能需要專門的硬件和物理訪問。英特爾發(fā)言人在一份聲明中說：“英特爾被告知可能會影響英特爾融合安全管理引擎的漏洞，在該漏洞中，具有專門硬件和物理訪問權(quán)限的未授權(quán)用戶可能能夠在某些英特爾產(chǎn)品的英特爾CSME子系統(tǒng)內(nèi)執(zhí)行任意代碼。英特爾發(fā)布了緩解措施，并建議使系統(tǒng)保持最新。具體內(nèi)容可以在CVE-2019-0090安全公告當(dāng)中找到。
（責(zé)任編輯：fqj）