■ 출처
■ 참조
04월 03일자로 CVE-2017-5703에 기고된 새로운 인텔 플랫폼 취약점 정보입니다. 여기에 따르면 맬웨어(악성 코드)가 사용자 머더보드의 UEFI BIOS를 지우거나 EEPROM 칩을 '읽기 전용'으로 만들어 차후의 BIOS 업데이트를 불가능하게 할 수 있는 취약점이라고 합니다. 여기에는 인텔의 SPI(serial peripheral interface) 구현에 존재하는 취약점을 악용한다고 하며, 이 취약점은 5세대 'Broadwell'까지 영향을 미친다고 하며, 인텔은 OEM 파트너에게 수정 프로그램을 전달해 BIOS 업데이트를 릴리즈했다고 합니다.
위 취약점은 Lenovo가 결함이 있는 제품의 BIOS 업데이트를 배포하는 과정에서(상세한 내용 공개) 공개되었으며, 시스템 펌웨어 장치(SPI 플래시)의 구성이 공격자가 BIOS/UEFI 업데이트를 막거나 펌웨어를 선택적으로 지울 수 있도록 하며, 이로 인해 오작동을 초래하게 되지만 드물게 임의의 코드가 실행될 수 있다고 덧붙였습니다. 인텔은 이 취약점을 내부적으로 발견했지만 이를 악용한 사례를 발견하지 못했다고 하며, 또한 이러한 취약점은 이미 완화법이 알려져 있으며 이를 적용할 수 있다고 보안 권고에서 말했습니다.
-----
기사에는 인텔이 이를 공개적으로 처리하지 않고 조용히 패치를 내놓는 선에서 그쳤다...정도의 늬앙스이던데, 이런 보안 패치는 널리 알리지 않고(악용을 방지하기 위해) 패치하는 경우도 있기에 미묘함. 멜트 다운이 좀 전세계 급으로 퍼진 거고(.....;) 사실 이와 관련되어 보이던 게 우분투 버그때부터 드러나기도 했었고... OS단에서도 패치가 가능하지 않나 싶다. 아무튼 레노버 노트북 유저나 데탑 유저라면 패치가 제공될 것 같으니 업데이트하도록 하자.
'PC.Div.Soft > News' 카테고리의 다른 글
| Ballistix Tactical Tracer RGB DDR4 Gaming Memory (0) | 2018.04.20 |
|---|---|
| AMD, 더 많은 PCIe 레인을 가진 Z490 칩셋 준비중 (0) | 2018.04.20 |
| Joint Photographic Experts Group, 스트리밍용 JPEG XS 포맷 발표 (0) | 2018.04.20 |