近日英特爾釋出了一份安全公告，其中包含16 個新發現的與 BIOS 相關的漏洞，這些漏洞允許攻擊者在本地計算機上使用拒絕服務和特權升級攻擊，同時繞過作業系統及其相關的安全措施。據英特爾稱，這些問題影響了其第 6 代至第 11 代酷睿處理器及其至強系列，包括 W、E 和 D 型號。

其中十個漏洞的嚴重性等級為“高”，這意味著它們允許不受限制地訪問機器，而三個被評為“中”，一個被評為“低”。這些新漏洞不包括在最近的Intel/AMD漏洞列表中，也與最近公佈的影響HP、Dell、Lenovo 和其他供應商的 BIOS 漏洞無關。

儘管如此，這 16 個新漏洞與某些漏洞相似，因為它們與 BIOS 相關。所有 16 個都允許攻擊者劫持計算機的 BIOS 以獲得對本地計算機的訪問許可權，從而訪問敏感資料。值得慶幸的是，英特爾指出，所有這些問題只有在攻擊者可以物理訪問機器的情況下才能被利用，因此它們無法被遠端利用。對於擁有安全位置的企業來說，這些漏洞不應該像個人膝上型電腦那樣令人擔憂，因為惡意行為者可以輕鬆訪問機器。

這些問題特別依賴於英特爾 BIOS 韌體中發現的各種錯誤，包括控制流管理不足、緩衝區溢位、指標問題、驗證不正確等等。所有這些都允許攻擊者在需要時提升許可權。其他包括不正確的訪問控制和不正確的預設許可權，可能允許攻擊者對本地計算機使用拒絕服務攻擊。

這些與 BIOS 相關的漏洞中的大多數都非常具有影響力，因為它們可以有效地繞過本地 PC 上的幾乎所有安全措施。大多數安全措施作為作業系統的一部分執行，或者在作業系統之上執行，它僅在 BIOS 執行其初始 POST（開機自檢）後加載。這意味著所有常規的安全對策都無法保護系統 BIOS。

英特爾表示正在釋出韌體更新以緩解漏洞，但尚未釋出正式的路線圖。然而，該公司表示，建議的行動方案是“更新到系統製造商提供的解決這些問題的最新版本”。不過，尚不清楚這些更新是否可用。您將在下方找到受影響平臺的列表。

受影響的產品：

第二代英特爾至強可擴充套件處理器家族

英特爾至強可擴充套件處理器系列

英特爾至強處理器 W 系列

英特爾至強處理器 E 系列

英特爾至強處理器 D 系列

第 11 代英特爾酷睿處理器家族

第 10 代英特爾酷睿處理器家族

第 9 代英特爾酷睿處理器家族

第八代英特爾酷睿處理器家族

第七代英特爾酷睿處理器家族

第六代英特爾酷睿處理器家族

英特爾酷睿 X 系列處理器家族

英特爾凌動處理器 C3XXX 系列。