Intelin prosessoreissa haavoittuvuuksia

[raimo]

HP dc7800 ~vuodelta 2009-2010 ja BIOS-päivitysmahdollisuus löytyy. Ehkä yrityskoneen ominaisuus?
BIOS-päivitys tuli viimeksi 2015, nyt en ole tarkistanut...

edit, eipä ole uudempaa kuin 2015 https://support.hp.com/us-en/drivers/selfservice/hp-compaq-dc7800-small-form-factor-pc/3459241

[nm]

Haavoittuvuudet koskevat Intel ME:n versioita 11.0 – 11.20, SPS:n versiota 4.0 ja TXE:n versiota 3.0. Käytännössä tämä tarkoittaa 6., 7. ja 8. sukupolven Core-, Xeon E3-1200 v5- ja v6-, Xeon Scalable-, Xeon W-, Atom C3000-, Apollo Lake -arkkitehtuurin Atom E3900- ja Pentium- sekä Celeron N- ja J -prosessoreita.

Haavoittuvuudet koskevat siis kolmea viimeisintä Core-sukupolvea eli pöytäkoneissa ja läppäreissä Core i3/i5/i7 6xxx (Skylake), 7xxx (Kaby Lake) ja 8xxx (Coffee Lake) -suorittimia ja niiden Pentium- ja Celeron-kevytversioita. Turha ajella noita tarkistustyökaluja yli kolme vuotta vanhoissa koneissa.

[kamara]

Haavoittuvuudet koskevat siis kolmea viimeisintä Core-sukupolvea eli pöytäkoneissa ja läppäreissä Core i3/i5/i7 6xxx (Skylake), 7xxx (Kaby Lake) ja 8xxx (Coffee Lake) -suorittimia ja niiden Pentium- ja Celeron-kevytversioita. Turha ajella noita tarkistustyökaluja yli kolme vuotta vanhoissa koneissa.

Minulla osui ja upposi yhdessä (n. vuoden ikäisessä i5) koneessa, miten tulee toimia ?

[nm]

Minulla osui ja upposi yhdessä (n. vuoden ikäisessä i5) koneessa, miten tulee toimia ?

Tarkista koneen tai emolevyn valmistajan sivuilta, onko UEFI/BIOS-päivitystä saatavilla. Jos ei ole, tarkista uudelleen myöhemmin, viikon tai parin kuluttua.

Haavoittuvuuksien vakavuutta on tässä vaiheessa vielä vaikea arvioida. Käytännössä hyökkäys kuitenkin edellyttää ylläpito-oikeuksia käyttöjärjestelmään tai pääsyä koneelle tai lähiverkkoon. Vierasverkoissa liikkuessa tämä on hyvä pitää mielessä, mutta toistaiseksi riskit ovat varsin pieniä, koska aukkoja hyödyntäviä haittaohjelmia tai tunkeutumistyökaluja ei ole liikkeellä.

Tässä yksi selventävä artikkeli aiheesta: https://www.howtogeek.com/334013/intel-management-engine-explained-the-tiny-computer-inside-your-cpu/

[AimoE]

Tässä yksi selventävä artikkeli aiheesta: https://www.howtogeek.com/334013/intel-management-engine-explained-the-tiny-computer-inside-your-cpu/

Tuon kun olisi heti nähnyt, ei olisi tarvinnut ajaa testiä turhaan. Sieltä nimittäin käy ilmi että kyse on UEFI-koneista. Windows-kneessa kylläkin on ME, mutta testi sanoi että kone ei ole haavoittuva. Tuo UEFI, niin se selittää miksi: mun kumpikaan kone ole UEFI-kone.

[kamara]

Minulla osui ja upposi yhdessä (n. vuoden ikäisessä i5) koneessa, miten tulee toimia ?

Tarkista koneen tai emolevyn valmistajan sivuilta, onko UEFI/BIOS-päivitystä saatavilla. Jos ei ole, tarkista uudelleen myöhemmin, viikon tai parin kuluttua.

Kannattaisiko ensiksi kysyä myyjältä, kuuluuko kyseinen takuun piiriin ?
Kyseessä kuitenkin tuotteessa esiintynyt virhe. En ole koskaan päivittänyt edes BIOSia saati UEFIa.

Tosin kyseinen ei taida olla rakettitiedettä, mutta jos UEFI-päivityksen sössii, niin käsittääkseni emolevystä tulee paperipaino.

Kovin paljoa ei kyseinen haavoittuvuus pelota, kun kone on pöytäkone, jota ei siirellä vaan pyörii sisäverkossa NAT:n takana. Toki, jos riittää sisäverkkoon pääseminen, niin silloin riittää WPA2:n läpäiseminen, vaikkakin salasanani WPA2:ssa on mielestäni varsin vaikea.

[jekku]

Haavoittuvuudet koskevat Intel ME:n versioita 11.0 – 11.20, SPS:n versiota 4.0 ja TXE:n versiota 3.0. Käytännössä tämä tarkoittaa 6., 7. ja 8. sukupolven Core-, Xeon E3-1200 v5- ja v6-, Xeon Scalable-, Xeon W-, Atom C3000-, Apollo Lake -arkkitehtuurin Atom E3900- ja Pentium- sekä Celeron N- ja J -prosessoreita.

Haavoittuvuudet koskevat siis kolmea viimeisintä Core-sukupolvea eli pöytäkoneissa ja läppäreissä Core i3/i5/i7 6xxx (Skylake), 7xxx (Kaby Lake) ja 8xxx (Coffee Lake) -suorittimia ja niiden Pentium- ja Celeron-kevytversioita. Turha ajella noita tarkistustyökaluja yli kolme vuotta vanhoissa koneissa.

Sorttinsa helpotus
Mahtaakohan olla yhtään noin uutta rautaa nurkissani.

[nm]

Tuon kun olisi heti nähnyt, ei olisi tarvinnut ajaa testiä turhaan. Sieltä nimittäin käy ilmi että kyse on UEFI-koneista. Windows-kneessa kylläkin on ME, mutta testi sanoi että kone ei ole haavoittuva. Tuo UEFI, niin se selittää miksi: mun kumpikaan kone ole UEFI-kone.

UEFI:lla ei varsinaisesti ole tämän kanssa tekemistä, ja Intel ME on ollut mukana prosessoreissa vuonna 2008 julkaistusta Nehalemista lähtien. Nämä haavoittuvuudet kuitenkin koskevat vain uusimpia Intel ME:n, SPS:n ja TXE:n versioita, ja käytännössä sellaisia suorittimia on vain koneissa, joissa on UEFI-BIOS.

Aloitusviestissä lainatussa io-techin artikkelissakin on kyllä varsin selvästi listattu prosessorit, joissa ongelma ilmenee.

Kannattaisiko ensiksi kysyä myyjältä, kuuluuko kyseinen takuun piiriin ?

Voihan sitä kysyä. Veikkaan ettei myyjän mielestä kuulu, ja vastuu siirtyy tässä tapauksessa jälleenmyyjältä koneen valmistajalle ja edelleen Intelille, joten aika monen portaan kautta voit joutua taistelemaan, jos haluat jonkun vastaamaan virheestä ja maksamaan huoltotoimenpiteet. Nyt kun vakavuudesta ei vielä ole selkeää näyttöä, kuluttajalla taitaa olla vähän heikot aseet vaatia mitään.

Tosin kyseinen ei taida olla rakettitiedettä, mutta jos UEFI-päivityksen sössii, niin käsittääkseni emolevystä tulee paperipaino.

Jos valmistajan tarjoamilla virallisilla työkaluilla tehty päivitys rikkoo koneen, uskoisin että se menee takuuseen. Pyydä tästä kirjallinen lausunto myyjältä tai valmistajalta, jos epäilyttää.

[Kullervo]

Tosin kyseinen ei taida olla rakettitiedettä, mutta jos UEFI-päivityksen sössii, niin käsittääkseni emolevystä tulee paperipaino.

Ei ole rakettitiedettä. Keväällä hankittu emolevy ja päivitys sujui muutamalla hiiren klikkauksella.
Hiukan piti säätää (puhaltimien nopeudet ja herätys), mutta sekin on tehty helpoksi tässä mallissa.
Niin ja kyseessä Ubuntu 16.04
E. Haavoittuvuus ja korjaus siihen löytyi