大家好:
今天是 2019 年 12 月的第二个星期二,我们将发布 11 个安全公告,其中涵盖驱动程序更新、固件和实用工具等内容。值得注意的是,这些问题的绝大多数都是通过我们的漏洞报告赏金计划上报给英特尔的。所有外部研究人员与我们一起协作,发布了今天的安全公告。
欲了解英特尔漏洞报告赏金计划,请访问:
https://www.intel.com/content/www/us/en/security-center/bug-bounty-program.html。
以下是今天披露内容的汇总:
| 安全公告 ID | 名称 |
| INTEL-SA-00230 | 英特尔® 动态平台和热框架公告 |
| INTEL-SA-00237 | 用于英特尔网络适配器的 Linux 管理工具 |
| INTEL-SA-00253 | 英特尔® 以太网 I218 适配器驱动程序公告 |
| INTEL-SA-00284 | 英特尔® FPGA SDK for OpenCL™ Pro 版 |
| INTEL-SA-00289 | 英特尔® CPU 电压设置修改公告 |
| INTEL-SA-00299 | 英特尔® 控制中心公告 |
| INTEL-SA-00311 | 英特尔® Quartus® Prime Pro 版公告 |
| INTEL-SA-00312 | 英特尔® SCS Platform Discovery Utility 公告 |
| INTEL-SA-00317 | 虚拟环境中意外页面错误公告 |
| INTEL-SA-00323 | 英特尔® NUC® 固件公告 |
| INTEL-SA-00324 | 英特尔® RST 公告 |
查看完整的英特尔安全公告清单,请访问:www.intel.com/security。
INTEL-SA-00289 是我们与众多学术研究人员一起协作的安全公告,它会影响客户端系统,有时也会影响基于至强 E 处理器的平台。一些研究人员已经在非英特尔架构上证实了相同类型的问题。在一个系统上启用 SGX 时,特权用户可以通过控制 CPU 电压设置而发起攻击,这可能会影响软件资产的机密性和完整性。英特尔已经与系统供应商合作开发了一个微代码更新,通过把电压锁定到默认设置来解决这个问题。我们注意到,许多学术研究人员已经为这类问题起了一些有趣的名称,包括“VoltJockey”和“Plundervolt”。请参考关于受影响英特尔产品的安全公告和建议。
我们尚未发现这些安全问题被实际利用,但我们一如既往地建议大家尽快安装安全更新。您最好通过计算机制造商来获取最新更新。点击这里,查看计算机制造商支持网站的列表。
以上就是 2019 年 12 月的安全公告。我们下一个计划更新的时间是 2020 年 1 月 14 日。要想随时了解英特尔安全话题的最新信息,请在Twitter上关注我们:@intelsecurity。
谢谢!
Jerry Bryant
英特尔产品保障与安全事业部传播总监