近期英特爾釋出了一份新的安全公告，其中包含了16個與BIOS相關的新漏洞。攻擊者可以利用這些漏洞，繞過作業系統和其相關的安全措施，在本地主機上使用拒絕服務和特權升級進行攻擊。好在上述漏洞不能用於遠端攻擊，而個人膝上型電腦或許是主要攻擊目標。

//

受到影響的英特爾處理器包括了以下產品：

2nd Generation Intel Xeon Scalable Processor Family

Intel Xeon Scalable Processor Family

Intel Xeon Processor W Family

Intel Xeon Processor E Family

Intel Xeon Processor D Family

11th Generation Intel Core Processor Family

10th Generation Intel Core Processor Family

9th Generation Intel Core Processor Family

8th Generation Intel Core Processor Family

7th Generation Intel Core Processor Family

6th Generation Intel Core processor Family

Intel Core X-series Processor Family

Intel Atom Processor C3XXX Family

在16個漏洞中，有10個漏洞的嚴重程度被評為“高”，這意味著允許不受限制地訪問；3個被列為“中”；還有一個則屬於“低”。這些新漏洞並不在近期英特爾公佈的漏洞列表中，與惠普、戴爾、聯想或其他品牌供應商的BIOS漏洞無關。透過這16個與BIOS相關的漏洞，攻擊者可以劫持主機的BIOS，以獲得本地訪問權，從而盜取敏感資料。

值得慶幸的是，這16個漏洞只能在本地有物理訪問權的情況下才能被利用，不能用於遠端攻擊。如果企業使用的桌上型電腦有嚴密的安保措施，那麼問題應該不大，只是個人隨身攜帶的膝上型電腦會較為容易成為攻擊的目標。

這些漏洞危險之處在於，可以有效繞過PC上幾乎所有安全措施，畢竟不少安全措施是依賴於作業系統完成的，作業系統只有在開機自檢後才能載入，這使得一些常規的安全對策都無法有效保護BIOS。英特爾表示，將透過韌體更新解決漏洞產生的問題，不過還沒有具體的時間表，暫時的建議是“更新到系統製造商解決這些問題的最新版本韌體”。