인텔이 마침내 IME가 보안 헛점이라는 것을 인정했습니다.
현재 관련된 기능들에 대해 조사를 하고 있음을 밝혔습니다.
아래는 영향이 미치는 칩셋들입니다.
- 6, 7, 8 세대 모든 인텔 칩셋들
- 인텔 제온 E3-1200 v5, v6 프로세서
- 인텔 제온 스칼라블 프로세서
- 인텔 제온 W 프로세서
- 인텔 아톰 C 3000 프로세서
- 아폴로 레이크 인텔 아톰 E3900 시리즈
- 아폴로 레이크 인텔 펜티엄
- 셀러론 N 및 J 시리즈 프로세서
아래는 보안 헛점이라고 밝혀진 기능들입니다.
- 인텔 Management Engine (IME)
- 인텔 서버 플랫폼 서비스 (SPS)
- 인텔 Trusted Execution Engine (TXE)
다만 위의 기능들을 이용하여 해킹 등을 하기 위해서는 물리적 접속을 요구합니다.
하지만 구글 보안 전문가에 따르면 AMT 기능 또한 보안 헛점이라고 주장하고 있으며,
이 말이 사실일 경우 더 심각한 원격 해킹이 가능하다는 의미를 내포합니다.
또한 ME가 해킹당하면 AMT, PTT 또한 해킹당하는 것과 마찬가지라며,
이 지경에 다다르면 직접 하드웨어를 초기화해야 하는데, 차라리 새 하드웨어를 사는 것이 더 싸다고 밝혔습니다.
현재 인텔은 자신의 하드웨어가 해당되는 보안 헛점을 갖고 있는지 확인할 수 있는 도구를
배포하고 있으며, 만약 자신의 하드웨어가 해당 결점을 갖고 있을 경우
판매자 등을 통해 패치를 진행하라고 밝혔습니다.
이러한 결점들을 찾을 수 있게 한 결정적 단초를 제공한 보안전문가들은 Mark Ermolov 와 Maxim Goryachy 입니다.
마이크로소프트 다국어 입력기가 왜 헛점인가 했네..
기업이나 정부 기관, 또는 권력의 표적이 된 개인을 제외하면 일반 사용자는 물리적 접속을 통한 해킹의 피해자가 되는 일이 '상식적'으로는 드물겠지요. 물론 그렇다고 저 결점이 작은 문제라는 뜻은 아닙니다.
AMD는 다른 방식으로 구현해서 인텔과 같은 치명적인 보안문제가 없다고 합니다. 펌웨어를 ARM 프로세서에 탑재하고, 코드는 ARM 프로세서의 Secure Enclave 에 저장하는 방법을 사용함으로서 문제가 없다고 하네요.
이 문제가 서버라던가 기업용업무를 담당하는 컴퓨터에선 엄청나게 치명적인 문제입니다. 한마디로 인텔 CPU를 사용한 데이터센터의 수천만개의 컴퓨터를 다 버려버리고 새로 사야할 정도의 엄청난 문제... 무조건 AMD 기반 서버를 사야만 하는거라..
하스웰이라 다행(?)이야..
인텔꺼 안사고 라이젠산게 신에 한수가되는건가?
그건 아님
헐...
작년에 산 노트북이....
일반인에게는 아무 의미가 없는 부분인것.
기업이나 정부 기관, 또는 권력의 표적이 된 개인을 제외하면 일반 사용자는 물리적 접속을 통한 해킹의 피해자가 되는 일이 '상식적'으로는 드물겠지요. 물론 그렇다고 저 결점이 작은 문제라는 뜻은 아닙니다.
하스웰이라 다행(?)이야..
저도요...
하스웰 짭제온 만세!
저두 ㅋㅋㅋ
저도 린필드 ㅋㅋㅋ
저는 샌디라서 햄복해요
카비란 말이야...
허점...허점...
AMD는 다른 방식으로 구현해서 인텔과 같은 치명적인 보안문제가 없다고 합니다. 펌웨어를 ARM 프로세서에 탑재하고, 코드는 ARM 프로세서의 Secure Enclave 에 저장하는 방법을 사용함으로서 문제가 없다고 하네요.
마이크로소프트 다국어 입력기가 왜 헛점인가 했네..
저도..ㅋㅋㅋㅋ이게 왜 인텔이랑 관련있지 하면서 들어왔네요
저도.. 저게 인텔이랑 무슨 관계가 있었지? 하면서 들어옴;
나랑 같은 생각 한 사람 많구나 ㅋㅋ
씌프트키까 안빠쪄요
이 문제가 서버라던가 기업용업무를 담당하는 컴퓨터에선 엄청나게 치명적인 문제입니다. 한마디로 인텔 CPU를 사용한 데이터센터의 수천만개의 컴퓨터를 다 버려버리고 새로 사야할 정도의 엄청난 문제... 무조건 AMD 기반 서버를 사야만 하는거라..
패치 등의 조치로는 안되나요?
OS하부에서 동작하므로 당연히 OS패치로는 해결이 불가능합니다. 백신 프로그램등도 OS에서 동작하는것이므로 아무런 도움이 되지 않습니다. 방법은 오로지 AMD CPU를 사용하는것 뿐입니다.
허어.... [현재 인텔은 자신의 하드웨어가 해당되는 보안 헛점을 갖고 있는지 확인할 수 있는 도구를 배포하고 있으며, 만약 자신의 하드웨어가 해당 결점을 갖고 있을 경우 판매자 등을 통해 패치를 진행하라고 밝혔습니다.] 그럼 인텔이 하는 이 이야기는 하나마나한 쓸데없는 소리네요?
그 패치가 OS에 설치되는 간단한 패치가 아닌것으로 알고 있습니다. 그래서 판매자를 통해서 패치를 하라는건데.. 그게 비용이 상당하다는거죠.. ------------------------------------------ 하지만 구글 보안 전문가에 따르면 AMT 기능 또한 보안 헛점이라고 주장하고 있으며, 이 말이 사실일 경우 더 심각한 원격 해킹이 가능하다는 의미를 내포합니다. 또한 ME가 해킹당하면 AMT, PTT 또한 해킹당하는 것과 마찬가지라며, 이 지경에 다다르면 직접 하드웨어를 초기화해야 하는데, 차라리 새 하드웨어를 사는 것이 더 싸다고 밝혔습니다.
이런 거는 근데 소송/손해배상 감이 될 수 있을까요? 결함을 알고서도 날림으로 만든 건 아닐테고 설계할때는 예상하지 못한 거였을텐데...
당연히 처음에 만들때는 관리등을 편하게 하기 위해 좋은 목적으로 만든것인데 그게 거꾸로 치명적인 문제가 된거죠.. 물론 소송감이 될수도 있을겁니다. 아직은 문제초기라 소송이야기가 나올 단계까지 가지 않은것 같습니다. 지금 이게 무슨 문제인지 허둥지둥 살펴보는 단계라...
그런정도는 아니구요. 패치를 통해 업데이트가 가능하다는 이야기입니다. 원문에서 빠진 내용을 보충하자면 원문에는 문제되는 IME펌웨어와 SPS, TXE 펌웨어가 나열되어 있는데, 이 각각의 펌웨어을 업데이트을 하면됩니다. 이 펌웨어는 BIOS업데이트와 유사한 절차로 업데이트 해야하고, 각 메인보드 제조사들이 이 업데이트 패치를 배포해야하는 정도의 문제가 있구요.(보안을 위해 인텔이 패치를 만들었어도 각 제조사들이 인증이 있는 설치 파일로만 펌웨어 업데이트가 가능하도록 설계되어 있습니다.) 사족으로 저도 소니 SVT11(바이오탭11)이 ME 펌웨어(일반적으로 ME라 부르니 IME말고 ME로 적겠습니다.) 업데이트가 한번 있었는데, 당시 설명에는 PTT 이슈 관련이라 했습니다. 그 외에도 하즈웰의 제품군은 ME 9버전 위주로 탑재되어서 윈도우 10이 공식적으로 11 지원하기에 올리는 경우도 있고,(제 바이오 탭도 초기 펌웨어 사용시 종료하는데 15분이상 걸리거나 종료후에도 3주정도 미사용시 방전되어 있는 버그가 있었는데, 펌업 후에는 이런 문제가 사라졌습니다.) eGPU를 위해 썬더볼트와 ME펌웨어를 업데이트도 합니다. 방법은 거의 바이오스 업데이트랑 동일합니다. 단지 펌웨어가 진짜 올랐는지를 BIOS에서 펌웨어 버전을 확인 할 필요가 있고 만약 펌업 중에 실패시 바이오스는 ROM칩만 교환하면 되지만 이건 머.... 보안 이슈에 관해 좀더 적어봤다가 너무길어서 줄이다보니 이 내용만 적게되네요...
내 맥북 ㅅㅂ
암드서버 잘팔리려나
http://hwtips.tistory.com/2450 일반 사용자 기준 ME 업데이트 방법입니다.