英特爾正在調查最近發現的三個 PCI Express (PCIe) 漏洞可能造成的影響，這些安全漏洞的編號分別為CVE-2025-9612、CVE-2025-9613和CVE-2025-9614，可能影響PCIe完整性和資料加密(IDE)標準。

卡內基美隆大學 CERT/CC 在一份公告中解釋說：「IDE 使用 AES-GCM 加密來保護 PCIe 組件之間流量的機密性、完整性和抗重播能力。它運行在事務層和數據鏈路層之間，提供靠近硬體的保護，防止未經授權修改鏈路流量。」

CERT/CC補充道：「在某些情況下，如果攻擊者能夠在PCIe介面上建構特定的流量模式，則三個規範級漏洞可能導致使用過時或不正確的資料。」利用這些漏洞可能導致資訊外洩、權限提升或拒絕服務 (DoS)。

然而，這些漏洞都被歸類為「低嚴重性」，實際上，這些類型的漏洞對專門研究硬體安全的安全研究人員或對想要獲得系統隱藏存取權限的複雜威脅行為者很有用。

根據CERT/CC的公告，目前只有英特爾和AMD確認其產品受到影響。英偉達、戴爾、F5和是德科技表示其產品不受影響。然而，還有十幾家其他廠商的產品受影響狀態「未知」，其中包括Arm、思科、Google、惠普、IBM、聯想和高通，系統和組件供應商預計將發布韌體更新。

PCI Express (PCIe) 是現代計算機架構中至關重要的總線，負責在 CPU 和其他高性能組件（如顯示卡、網路卡、固態硬碟）之間傳輸數據。這三個新披露的漏洞直接針對 PCIe 協議中負責數據保護的完整性與數據加密標準（IDE，Integrity and Data Encryption）。IDE 的設計目標是透過強大的 AES-GCM 加密，確保在數據鏈路層級的機密性與完整性，特別是防止惡意實體對傳輸中的數據進行竊聽或篡改。這些漏洞的出現表明，即使是底層的硬體安全規範也可能存在邏輯缺陷，從而允許攻擊者在數據傳輸的物理或協議層面上進行干擾。

儘管 CERT/CC 將這些漏洞定性為「低嚴重性」，但這並不意味著它們不重要。低嚴重性評級往往基於攻擊成功的難度，這類漏洞需要攻擊者具備對 PCIe 介面和流量的深度理解，並能夠在硬體層面上建構特定的、非標準的流量模式。這類攻擊通常被歸類為複雜的物理或近距離攻擊，而不是常見的遠端網路攻擊。因此，它們成為國家級威脅行為者或高度專業化的硬體安全團隊的理想目標，這些實體旨在實現對系統的隱蔽、持久存取，或是在高安全環境中繞過現有軟體防禦。一旦利用成功，潛在的資訊外洩和權限提升將是毀滅性的。資訊外洩可能涉及從記憶體或 I/O 傳輸中竊取敏感數據，而權限提升則可能允許攻擊者獲得對系統的完全控制權。

受影響的範圍目前主要集中在英特爾和 AMD 兩大處理器巨頭，這兩家公司的產品主導了全球伺服器、個人電腦和工作站市場。這類核心硬體漏洞會像漣漪一樣擴散，影響到所有依賴這些處理器的主機板和系統。雖然 Nvidia、戴爾等廠商已確認不受影響，但仍有十幾家主要的硬體與系統供應商（包括 Arm、思科、Google、IBM 等）的產品受影響狀態尚待確認或披露。這凸顯了硬體生態系統的複雜性，以及修復底層規範漏洞所涉及的供應鏈協作的挑戰性。

面對這些硬體層級的威脅，僅靠操作系統或應用程式的軟體補丁是不足的。解決方案必須來自系統和組件供應商提供的韌體（Firmware）更新。這包括主板的 BIOS/UEFI 固件以及處理器本身的微碼更新。組織應持續關注其供應商（如 Dell、HP、Lenovo 等）發布的針對這些 CVE 編號的更新公告，並立即將這些關鍵的韌體補丁部署到受影響的系統上，特別是那些處理高價值、敏感數據的伺服器和工作站。這類硬體漏洞提醒我們，安全防護必須延伸到計算堆棧的最底層，涵蓋從應用程式、操作系統到硬體和韌體的所有層面。