英特尔效仿微软的做法,于本周二为其部分常用软件发布了一系列软件更新。此次更新包规模庞大,包含多个值得注意的权限提升漏洞。此外,针对当代英特尔芯片的若干小问题发布了微代码更新,该公司此前已为这些问题提供了Linux补丁。
最严重的漏洞当属UEFI服务器固件漏洞和拒绝服务漏洞(即CVE-2025-30185),其危险等级达8.3/10。尽管英特尔的描述较为模糊,但公司承认“特权用户”可通过篡改数据,在ring-0层级获取UEFI访问权限,进而控制整台设备。至少,熟练的攻击者能导致系统瘫痪。虽然获取设备管理员权限对攻击者而言门槛较高,但该漏洞在服务器和云数据中心环境中尤为棘手——个别恶意管理员可轻易植入后门,或对系统其他用户造成干扰。
虽然无人直接部署英特尔UEFI固件,但它是惠普、戴尔等厂商定制版本的基础,这意味着当前存在大量可被利用的服务器。英特尔ProSet Wi-Fi驱动程序和英特尔Arc B系列GPU驱动程序同样存在权限提升漏洞。无线驱动程序中的漏洞(CVE-2025-35971)允许局域网内任意用户导致目标设备的Wi-Fi网卡丢包或完全断开连接。虽不构成严重威胁,但若使用英特尔Wi-Fi网卡,建议立即更新至最新驱动。同理,Arc B系列GPU驱动也需及时更新。其中最危险的漏洞(CVE-2025-32091)需管理员权限才能利用,在桌面系统中影响有限。更值得关注的是第二个漏洞(CVE-2025-31647),可能允许普通用户泄露其本无权访问的数据。
微代码修复主要针对多款CPU系列的“重复扫描字符串字节(REP SCASB)”和“重复比较字符串字节(REP CMPSB)”指令问题——当其他核心或线程访问正在使用的内存时,这些指令可能返回错误结果。此外还为至强处理器系列的多个特定节能功能提供了修复。
最后,Arrow Lake处理器获得了前述修复,同时修复了等时USB 3.2输入设备可能丢包的问题。据推测,该问题可能导致网络摄像头、麦克风等音视频设备出现音视频中断现象。
