中国网络空间安全协会：应系统排查英特尔产品网络安全风险

wjm47196

财联社10月16日讯，中国网络空间安全协会发布消息，建议系统排查英特尔产品网络安全风险。

漏洞频发、故障率高

应系统排查英特尔产品网络安全风险

1.安全漏洞问题频发

2023年8月，英特尔CPU被曝存在Downfall漏洞，该漏洞是一种CPU瞬态执行侧信道漏洞，利用其AVX2或者AVX-512指令集中的Gather指令，获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、关键参数等敏感数据。该漏洞影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU，以及第1代至第4代至强处理器。实际上，早在2022年，就有研究者向英特尔报告过该漏洞，但英特尔在明知漏洞存在的情况下，既不予承认，也未采取有效行动，还持续销售有漏洞的产品，直至漏洞被公开报道，英特尔才被迫采取漏洞修复措施。已有五位受害者以自身及“全美CPU消费者”代表的名义，于2023年11月在美国北加州联邦地方法院圣何塞分院，针对上述情况向英特尔发起集体诉讼。

无独有偶，2023年11月谷歌研究人员，又披露英特尔CPU存在高危漏洞Reptar。利用该漏洞，攻击者不仅可以在多租户虚拟化环境中获取系统中的个人账户、卡号和密码等敏感数据，还可以引发物理系统挂起或崩溃，导致其承载的其他系统和租户出现拒绝服务现象。

2024年以来，英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞，英特尔在产品质量、安全管理方面存在的重大缺陷，表明其对客户极不负责任的态度。

2.可靠性差，漠视用户投诉

从2023年底开始，大量用户反映，使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时，会出现崩溃问题。游戏厂商甚至在游戏中添加了弹窗处理，警告使用这些CPU的用户。视觉特效工作室ModelFarm的虚幻引擎主管和视觉特效负责人Dylan Browne发帖说，其所在公司采用英特尔处理器的电脑故障率高达50%。

在用户反映集中、无法遮掩的情况下，英特尔公司最终不得不承认产品存在稳定性问题，给出所谓初步调查报告，将问题归咎于主板厂商设置了过高的电压。但随机遭到主板厂商的驳斥，表示其生产的主板是按照英特尔提供的数据进行BIOS程序开发，崩溃原因不在主板厂商。2024年7月，英特尔才发布声明，对于CPU频繁崩溃事件给出了解释，承认由于错误的微代码算法向处理器发出过高的电压请求，导致了部分第13、14代处理器出现不稳定现象。

2023年底就频现崩溃问题，半年以后英特尔公司方才确定问题并给出更新程序，且半年内给出的缓解措施也不奏效，充分反映出英特尔在面对自身产品缺陷时，不是积极坦诚面对问题，而是一味漠视、推诿和拖延。有专业人士推测，其根本原因是英特尔为了获得性能提升，重获竞争优势，而主动牺牲产品稳定性。另据报道，美国“Abington Cole + Ellery”律师事务所，已开始调查英特尔第13、14代处理器不稳定的问题，并将代表最终用户提起集体诉讼。

3.假借远程管理之名，行监控用户之实

英特尔联合惠普等厂商，共同设计了IPMI（智能平台管理接口）技术规范，声称是为了监控服务器的物理健康特征，技术上通过BMC（基板管理控制器）模块对服务器进行管理和控制。BMC模块允许用户远程管理设备，可实现启动计算机、重装操作系统和挂载ISO镜像等功能。该模块也曾被曝存在高危漏洞（如CVE-2019-11181），导致全球大量服务器面临被攻击控制的极大安全风险。

除此之外，英特尔还在产品中集成存在严重漏洞的第三方开源组件。以英特尔M10JNPSB服务器主板为例，该产品支持IPMI管理，目前停止售后，2022年12月13日发布了最后一次固件更新包，分析可知其web服务器为lighttpd，版本号为1.4.35，竟然是2014年3月12日的版本，而当时lighttpd的最新版本已升级至1.4.66，两者竟然相差9年之久，时间跨度之大令人惊讶。这种不负责任的行为，将广大服务器用户的网络和数据安全，置于巨大的风险之中。

4.暗设后门，危害网络和信息安全

英特尔公司开发的自主运行子系统ME（管理引擎），自2008年起被嵌入几乎所有的英特尔CPU中，是其大力推广的AMT（主动管理技术）的一部分，允许系统管理员远程执行任务。只要该功能被激活，无论是否安装了操作系统，都可以远程访问计算机，基于光驱、软驱、USB等外设重定向技术，能够实现物理级接触用户计算机的效果。硬件安全专家Damien Zammit指出ME是一个后门，可以在操作系统用户无感的情况下，完全访问存储器，绕过操作系统防火墙，发送和接收网路数据包，并且用户无法禁用ME。基于ME技术实现的英特尔AMT（主动管理技术），曾在2017年被曝存在高危漏洞（CVE-2017-5689），攻击者可通过设置登录参数中响应字段为空，实现绕过认证机制，直接登录系统，获得最高权限。

2017年8月，俄罗斯安全专家Mark Ermolov和Maxim Goryachy通过逆向技术找到了疑似NSA（美国国家安全局）设置的隐藏开关，该开关位于PCHSTERP0字段中的HAP位，但此次标志位并没有在官方文档中记录。戏剧性的是，HAP全称为High Assurance Platform（高保障平台），属于NSA发起的构建下一代安全防御体系项目。

如果NSA通过开启HAP位隐藏开关直接关闭ME系统，与此同时全球其他英特尔CPU都默认运行ME系统，这就相当于NSA可以构建一个只有其自己有防护，其他所有人都在“裸奔”的理想监控环境。这对于包括中国在内世界各国的关键信息基础设施来说，都构成极大地安全威胁。目前，ME上的软硬件是闭源的，其安全保障主要靠英特尔公司的单方面承诺，但事实表明英特尔的承诺苍白无力，难以令人信服。使用英特尔产品，给国家安全带来了严重隐患。

5.建议启动网络安全审查

据报道，英特尔公司500多亿美元的全球年收入，近四分之一来自中国市场。2021年英特尔公司的CPU占国内台式机市场约77%，在笔记本市场占约81%；2022年英特尔在中国的x86服务器市场份额约91%。可以说英特尔在中国赚得盆满钵满，但这家公司反而不断做出损害中国利益、威胁中国国家安全的事情。

此前，美政府通过所谓《芯片和科学法案》，对中国半导体产业进行无端排挤和打压，英特尔公司就是这一法案的最大受益者。英特尔公司首席执行官帕特∙基辛格成功地将英特尔与美国政府绑定在一起，成为美国芯片战略的最大合作公司，不仅得到了85亿美元的直接补助，还有110亿美元的低息贷款。

为讨好美国政府，英特尔在所谓涉疆问题上积极站位打压中国，要求其供应商不得使用任何来自于新疆地区的劳工、采购产品或服务，在其财报中更是将台湾省与中国、美国、新加坡并列，还主动对华为、中兴等中国企业断供停服，这是典型的“端起碗来吃饭，放下碗就砸锅”。

建议对英特尔在华销售产品启动网络安全审查，切实维护中国国家安全和中国消费者的合法权益。

muttsorrow

好奇主管单位是谁呢，静待后续……

hhu88

新闻区发帖要给出原文链接的哦

aibo

说真的，这协会有点牙防组的赶脚

sciwander

好奇有公信力不~

hoyaryyj

后续还会有动作，大家拭目以待吧

zz001122334455

slinze 发表于 2024-10-16 20:07
什么野鸡协会，先不说1、2说的问题英特尔早就给出解决方案，后面3、4条这种话术跟**时期的批斗语言有什么区 ...

理事长

赵泽良 第十四届全国**委员、经济委员会委员，中央网信办原副主任



副理事长（按姓氏笔画排序）

王小云 中国科学院院士，清华大学高等研究院教授

王 芸 天津市人大常委会委员，市人大教育科学文化卫生委员会主任委员，市人大常委会教育科学文化卫生办公室主任

卢 卫 国家计算机网络应急技术处理协调中心原党委书记、副主任

冯登国 中国科学院院士，北京信息科学技术研究院院长
等等

renchongyi

坐等9800x3d价格起飞，彻底买不起了

pslt

slinze 发表于 2024-10-16 20:07
什么野鸡协会，先不说1、2说的问题英特尔早就给出解决方案，后面3、4条这种话术跟**时期的批斗语言有什么区 ...

真相了~~~  

pslt

zz001122334455 发表于 2024-10-16 21:09
理事长

赵泽良 第十四届全国**委员、经济委员会委员，中央网信办原副主任

。。。。。。。。。。。。。。。。。。。。。。

ggx992

slinze 发表于 2024-10-16 20:07
什么野鸡协会，先不说1、2说的问题英特尔早就给出解决方案，后面3、4条这种话术跟**时期的批斗语言有什么区 ...

你要不看清楚是什么协会

caihui

敢点名道姓的一般都是实锤了，这下U9 285K还能上市不。。。

wjm47196

slinze 发表于 2024-10-16 20:07
什么野鸡协会，先不说1、2说的问题英特尔早就给出解决方案，后面3、4条这种话术跟**时期的批斗语言有什么区 ...

都贴图了还野鸡你也是挺搞笑的

游荡在灯塔

slinze 发表于 2024-10-16 20:07
什么野鸡协会，先不说1、2说的问题英特尔早就给出解决方案，后面3、4条这种话术跟**时期的批斗语言有什么区 ...

笑的，现在科技战哪边不是大批大斗，还搁这儿上个版本呢？

jilang

slinze 发表于 2024-10-16 20:07
什么野鸡协会，先不说1、2说的问题英特尔早就给出解决方案，后面3、4条这种话术跟**时期的批斗语言有什么区 ...

Intel的解决方案并不完美，1的问题会影响性能，2的问题根本就是缩杠降压也能算解决问题？
至于后面的没有证据就不多说啥了。但这个批评本身完全没问题。都是实锤。

满田桑

看来CHH里intel的拥趸还真不少，不查证下消息就忙不迭地开始维护了

fuckapo

slinze 发表于 2024-10-16 20:07
什么野鸡协会，先不说1、2说的问题英特尔早就给出解决方案，后面3、4条这种话术跟**时期的批斗语言有什么区 ...

都是熟悉的配方。

nsc117

这文稿写得像泼妇骂街，看上去不像是正经部门

zealotxx

aibo 发表于 2024-10-16 19:32
说真的，这协会有点牙防组的赶脚

2023年10月，荣获2023年中央网信办“四强”党支部荣誉称号

你说这玩意是谁指挥的

bluspea

静观其变，不是看说了什么，要看做了什么

ptzgod

是该好好查一查，大战在即隐患都该清一把

libfire2002

大不了，全国换系统，换成龙芯

wjm47196

aibo 发表于 2024-10-16 19:32
说真的，这协会有点牙防组的赶脚

真不是牙防组，理事会成员一堆院士，理事长是前网x办副主任

pc3000

其实之前用INTEL风险也不是不知道，只是没有好替代方案。
但现在有了，这个时间节点明显是为国产CPU助力嘛

aibo

wjm47196 发表于 2024-10-17 09:37
真不是牙防组，理事会成员一堆院士，理事长是前网x办副主任

看了其他新闻，
测绘啊

aibo

zealotxx 发表于 2024-10-17 09:02
2023年10月，荣获2023年中央网信办“四强”党支部荣誉称号

你说这玩意是谁指挥的 ...

而且这些漏洞缺陷啥的，都是公开的。而且可以说“自古以来”都是一直在爆漏洞出来。只能归类于商业问题。

真的所谓危害啥的，只会直接默默替换掉。

这次明显是其他因素，用这些给牙膏继续添点堵

wjm47196

aibo 发表于 2024-10-17 09:54
而且这些漏洞缺陷啥的，都是公开的。而且可以说“自古以来”都是一直在爆漏洞出来。只能归类于商业问题。 ...

就是给牙膏填堵啊，还能干啥

可以抱的萝卜

今天的爆炸性新闻和这个关联上了，很多电车用mobileye方案的被国家安全局抓了，阿里云计算也被注销测绘资格，mobileye涉嫌间谍行为，然后之前mobileye被intel收购了，新闻果然是环环相扣，现在想想也不奇怪了

flyzhuan

muttsorrow 发表于 2024-10-16 19:00
好奇主管单位是谁呢，静待后续……

https://www.cybersac.cn/newhome