Intel ME管理引擎近来成为关注焦点,主要是它被发现基于一个完整的迷你操作系统MINIX 3,相当于CPU内部的一个独立小王国,拥有自己的一整套底层运行机制,系统和用户都无法干预,万一存在安全隐患后果会十分恐怖。
可怕的是一语成谶,Intel随后确认,最近三年包含ME管理引擎的CPU处理器几乎全部存在多个安全漏洞,目前各大主板、PC厂商都在陆续更新修复,大部分是发布新BIOS或者驱动修补,也有的厂商选择直接禁用旗下产品中的ME管理引擎。
Google此前就在尝试从Intel CPU中移除或者关闭ME引擎。
但是最新消息显示卡,Intel并不打算关闭这一功能,反而要将其保护起来,通过完全硬件锁定,禁止他人禁用ME引擎。
GitHub上泄露的一份Intel技术指导显示,ME 12.0版本开始,Intel处理器的安全版本编号(SVN)将会进行升级,并永久保存在一个所谓的现场可编程保险(FPF)模块中,一旦设定就会变成只读属性,无法再更改,从而禁止对ME引擎进行关闭或者降级操作。
Intel没有解释为何这么作,估计应该是希望能通过完全锁定ME引擎,保证其功能正常可用的同时,避免被外界攻击、破坏。
笔记本厂商Purism此前曾第一个宣布,将关闭旗下主打安全的Librem笔记本中的Intel ME引擎,而在听闻Intel的新举措后,Purism CEO Todd Weaver对媒体表示,Intel的做法意在提高安全性,但并没有修复其中的底层楼栋,ME固件也是必须的。
他指出,如果用户不想要ME引擎,那对不起,Intel处理器不提供这种选择。
