Lenovo 安全公告：LEN-21284

潜在影响：权限提升、信息泄露

严重性：高

影响范围：全行业

CVE ID：CVE-2017-5736、CVE-2018-3626、CVE-2018-3639、CVE-2018-3640、CVE-2018-3691

摘要描述：

Intel 已经发布了与 Intel Software Guard Extensions（SGX）功能中的漏洞有关的几个公告。

应采取哪些措施进行自我保护：

Intel 建议按照 Lenovo 公告 LEN-22133 中的说明将系统 BIOS 更新为为您的型号指定的版本（或更高版本）。

Intel 建议将 Intel SGX 平台软件更新为版本 2.0.1 或更高版本。 请参阅以下“产品影响”部分，了解支持的产品。

Intel 建议更新 Intel Online Connect。请参阅以下“产品影响”部分，了解支持的产品。

Intel 建议将指纹识别器软件更新到以下“产品影响”部分中针对您的产品型号列出的版本。

Intel 同样建议更新您正在使用的任何其他 SGX 应用程序，以便合并新的 SGX 软件开发工具包（SDK）和平台软件。请联系您的 SGX 应用程序软件供应商了解这些更新。如果 SGX 应用程序由您编写，请遵循 INTEL-SA-00117、INTEL-SA-00106 和 INTEL-SA-00135 中的 Intel 说明来更新您的应用程序。

Intel 将会在 2018 年 6 月 25 日开始执行 TCB 恢复操作。使用 Intel 认证服务的 SGX 应用程序和未更新的 SGX 应用程序将在 2018 年 7 月 23 日开始接收“GROUP_OUT_OF_DATE”响应。