安全研究人员发现了最近英特尔芯片中的另一个缺陷，尽管该缺陷难以利用，但却是完全无法修补的。该漏洞位于英特尔的融合安全和管理引擎（CSME）中，该芯片是控制系统启动，功率水平，固件以及最重要的是加密功能的芯片的一部分。安全专家Positive Technologies发现该模块中的安全漏洞很小，可能使攻击者注入恶意代码并最终控制您的PC。　　该漏洞是一系列英特尔芯片缺陷中的另一个，这些缺陷最近已经损害了芯片制造商的声誉。在2018年，英特尔因英特尔芯片的Meltdown和Spectre漏洞而面临严厉批评，这些漏洞可能使攻击者窃取数据。

　　CSME拥有自己的基于486的CPU，RAM和启动ROM，它是启动计算机时首先要运行的东西。它要做的第一件事就是保护自己的内存，但是在此之前，有一小段时间它很容易受到攻击。如果黑客可以对计算机进行本地或物理访问，则他们可以触发向该RAM的DMA传输，将其覆盖并劫持代码执行。

　　由于ROM漏洞允许在锁定SKS中的硬件密钥生成机制之前抢占代码执行控制，并且ROM漏洞无法修复，因此我们认为提取此密钥只是时间问题。当这种情况发生时，将完全混乱。将伪造硬件ID，提取数字内容，并对来自加密硬盘的数据进行解密。

　　由于引导代码和RAM被硬编码到Intel的CPU中，因此如果不更换芯片就无法对其进行修补或重置。这使得英特尔或计算机制造商无法减轻漏洞，更不用说完全修复该漏洞了。

　　CSME的安全功能允许操作系统和应用程序使用主“芯片集密钥”安全地存储文件加密密钥。如果攻击者可以通过执行恶意代码来访问该密钥，则他们可以与应用程序一起访问操作系统的核心部分，并可能造成严重损害。

　　Positive Technologies的Mark Ermolov解释说：“此[芯片组]密钥不是特定于平台的。单个密钥用于整代Intel芯片组。” “而且由于ROM漏洞无法修复，因此我们认为提取此密钥只是时间问题。一旦发生这种情况，将会完全混乱。将伪造硬件ID，提取数字内容，并从中提取数据加密的硬盘将被解密。”

　　这听起来很引人注目，但要利用此漏洞，将需要主要的技术知识，专用设备和对机器的物理访问。但是，一旦黑客进入系统内部，他们便有可能获得持久的远程访问。

　　该漏洞适用于过去五年左右构建有英特尔芯片的计算机。英特尔表示已通知该漏洞，并于2019年5月发布了缓解措施，以将其纳入主板和计算机系统的固件更新中。

　　该芯片巨头在后台告诉Ars Technica，这些更新“应该”减轻本地攻击。但是，如果攻击者可以回滚BIOS版本，则仍然可能发生物理攻击（攻击者拥有目标计算机）。因此，英特尔在一份支持文件中表示，“最终用户应保持其平台的实际拥有权。”