인텔 6세대 이상 cpu 보안 취약점 ;;
2017.11.24 09:06
또 나왔네요.
6세대 스카이레이크부터 입니다. 7세대 카비레이크, 8세대 커피레이크까지
레이크 [호수] 시리즈
취약 상태네요 ;;
다행히 펌웨어 수준이라고 합니다만, 바이오스 업데이트는 하지 않아도 된다고 하더군요
바이오스 일부만 패치하는 듯 합니다.
https://downloadcenter.intel.com/download/27150
해당 파일입니다 [취약한지 확인만 하는 툴 같습니다;]
메인보드 홈페이지 BIOS 중에 ME가 있어서 다운로드 하여 실행해봤지만, 경고창만 뜨고...실행되지 않았습니다;;
-> 제가 바이오스 중에 ME 업데이트 해본 적이 없어서, 사용법을 잘 몰라서 그럴 수도 있습니다
그래서 개인 블로그에서 ME 펌웨어 업데이트 파일 다운로드 하여 실행했습니다. 험난하네요..
http://hwtips.tistory.com/2450
업데이트 하기 전 ME 펌웨어 버전이 11.6.10.1196 이네요. 최신 바이오스 상태인데도 이렇습니다
ME는 별도로 패치해야 하는군요
FWUpdLcl64.exe -f 11.8.50.3425_CON_H_D0_PRD_RGN.bin
해주니까 30초 정도에 바로 업데이트 됐습니다. 재부팅..
ME 펌웨어 버전 11.8.50.3425 으로 업데이트 잘 되었네요
하지만, 이상하게 처음 스샷에 올린 콘솔 모드로 취약 상태를 확인하니까 계속 에러 발생하여 GUI로 확인했습니다
보안 문제도 있지만, ME가 전력 관리와 관련이 있다고 합니다
요즘 계속 절전모드 에러가 자주 발생하기 때문에...2016 ltsb는 빈도수가 적긴 합니다만...
기대를 조금 하고 업데이트 해봤습니다. 종료했는데도 종료 되지 않는 현상과도 관련이 있다고 합니다. 절전모드에서 복구하지 못 한다든지..
ME 에 대하여 얼떨결에 공부를 하게 되었네요
---------------
2017.11.24 15:55
위 툴에서 메인보드 정보가 제대로 나오지 않는다는 분이 계십니다
제가 올린 스샷 보시면 처음 패치 전부터 메인보드 모델명은 제대로 나오지 않고 있습니다
그리고 개인 블로그에서는 처음부터 패치된 상태이고, 메인보드 정보는 잘 나오고 있습니다.
특정 메인보드와 특정 툴에서만 생기는 현상이고, 패치와 관계없이 컴퓨터 정보 프로그램들에서는 메인보드 정보 잘 나오고 있습니다
그 분도 아수스이던데요. 이런 프로그램들로 확인해보시면....안심이 되실 듯 합니다
패치 전부터 메인보드 이름이 나오지 않았는데..모르신 듯 합니다
-----------------
2017.11.24 21:27
다시 아까 메인보드 홈페이지에서 받은 ME 펌웨어 업데이트 확인해보니까, 드라이버부터 설치하라는 경고창이었네요.
아까는 영어를 대충 봐서...그냥 파일 오류난 줄 알았네요;;
음. MEI 드라이버부터 설치해야겠네요. 지금이라도?
그래서 역시 메인보드 홈페이지에서 다운로드한 MEI 드라이버부터 설치완료했습니다.
홈페이지에서 최신 버전 11.7.0.1040 입니다
다시 ME 펌웨어 업데이트 실행해보니까, 이제는 업데이트가 필요하지 않다고 합니다 ^^
당연하겠지요. 이미 업데이트 패치한 상태라서..
오전에는 뭔가 어수선한 상황이라서....굳이 개인 블로그까지 안 가도 되었을텐데요. 아...정리 안 되는 글이 되어버렸네요.
뒤늦게라도 정리하면
메인보드 홈페이지에서, 칩셋 항목에 있는 MEI 드라이버부터 설치 -> 바이오스 항목에 있는 ME 펌웨어, 이렇게 설치하면 되는 것이었네요.
순서도 반대로 하고..허탈하네요. 별 문제는 없는 듯 합니다만..
----------------
2017.11.25 09:04
위에서 개인 블로그의 ME 펌웨어 버전은 나오는데요.
메인보드 홈페이지의 ME 펌웨어 버전은 이미 설치되었다고 설치 못 하여 확인 못 했기 때문에..궁금해서 확인해봤습니다
메인보드 홈페이지에도 개인 블로그에 있는 파일들이 있더군요. FW [펌웨어] 폴더에 있습니다
<스샷에 bat 파일들은 원래 있었던 것입니다. 파일들은 전부 원본 그대로 입니다. ME.bin으로 간단하게 되어 있더군요>
FWUpdLcl64.exe -FWVER ME.bin
FWUpdLcl64.exe -FWVER
*32비트 윈도는 64 생략해야 할 겁니다.
FWUpdLcl.exe -FWVER ME.bin
FWUpdLcl.exe -FWVER
확인 결과는 스샷에 있는대로 개인 블로그의 ME 펌웨어가 더 버전이 높습니다.
물론 버전이 높다고 더 좋다고 할 수는 없습니다. ME 펌웨어 버전은 메인보드 제조사마다 다를 지는 모르겠습니다.
ME.bin 파일 날짜가 2017.09.27 입니다만, 메인보드 홈페이지에 2017.11.22 로 등록된 파일입니다
설명에 보면 해당 인텔 문제를 패치한 것이라고 되어 있습니다
다음은 크롬 번역한 스샷입니다
댓글 [12]
-
RMH 2017.11.24 09:17 -
suk 2017.11.24 09:55
바이오스 전체를 업데이트 하지 않고, 별도 파일로 바이오스 일부만 업데이트 하는 듯 하더군요
저도 잘 모르겠습니다. ME는 윈도상에서 MEI 라고만 봤었네요. 뭔가 복잡하네요
ME 펌웨어 업데이트 하는 파일은 또 제조사에서 받아야 하는 듯 합니다.
인텔에 찾아봐도 찾기 어렵네요. 본문에 올린 파일은 취약 상태만 감지하네요;;
문제는 또 제조사에서 ME 파일을 다운로드 했습니다만...경고창만 나오고 실행도 안 되네요. 산넘어 산이군요
치명적 보안 문제라고 하여 무시하기도 그렇고...참..그렇네요. 6세대부터 계속 버그군요.
-----
본문에 추가했듯이, 개인블로그에서 ME 펌웨어 다운로드 하여 업데이트 했습니다
-
이세라 2017.11.24 12:10 전 6세대 ASUS Z270사용중인데 패치 되었습니다.
-
RMH 2017.11.24 22:22 고생하셨네요.
-
번개 2017.11.24 10:39
더 짜증나는건 인텔에서 이미 알고 있었다는 것
-
DOGSnCATS 2017.11.24 10:49
제 메인보드는(기가바이트) 11월 14일자로 ME 보안 관련 바이오스가 나와있네요.
-
고달픈명탐정 2017.11.24 11:45
덕분에 업데이트는 무사히 마쳤습니다.
-
이세라 2017.11.24 12:04 저도 무사히 마쳤습니다.
감사합니다
-
댕구루 2017.11.24 12:53
저도 도움 많이 받아 갑니다.... ^^
-
한걸음 2017.11.24 15:48
패치 업데이트가 상당히 복잡하네요ㅠㅠ
간신히 성공했네요.
-
DarknessAngel 2017.11.25 05:46
ME랑 전력 관리는 그다지 상관없습니다
ME는 관리툴을 빙자한 백도어입니다
OS등과 완전히 독립된 별도의 체제로 심지어는 전원이 꺼져있어도 접근 가능하고, 원격으로 데이터를 복사하거나 할 수 있고, 커널이랑 따로 놀기땜에 아무도 모르게 뭐든 다 할 수 있습니다 (인텔은 관리 편의성을 주장하지만, 사실상 NSA등에게 백도어 제공하는게 목적인듯)
-
다니엘 2017.11.25 11:47
메인보드사 패치만 마냥 기다려야 하는군요.
펌웨어 수준의 문제인데 바이오스 업데이트는 필요없다? 일반적으로 PC에서 펌웨어라 하면 바이오스인데 그럼 바이오스레벨의 문제가 아닌가보죠?
오늘날의 프로세서들은 코어가 늘어나고 스마트캐쉬의 탑재 등 복잡성이 늘어나서 인텔제품의 경우 CPU내에 CPU자신을 전문적으로 제어하는
미닉스OS 기반의 초소형 제어시스템(CPU를 제어하는 CPU)이 탑재되는데 이것의 문제인가 봅니다. 그게 인텔 매니지먼트 엔진(Intel ME)인데요.
결론은 윈도 업데이트 하듯 프로세서 내부의 미닉스OS를 업데이트 하는건가 보네요. 본문사진에서 Intel ME를 체크하는것을 보니 맞는것 같습니다.