UEFI-এর জনপ্রিয়তার কারণে 'বড় লোকদের' একটি সিরিজের নিরাপত্তা ত্রুটি রয়েছে

আইটিনিউজের মতে, কোয়ার্কস্ল্যাব সতর্ক করে দিয়েছে যে, এই নিরাপত্তা দুর্বলতাগুলি একই স্থানীয় নেটওয়ার্কে অননুমোদিত দূরবর্তী আক্রমণকারীরা কাজে লাগাতে পারে, এবং কিছু ক্ষেত্রে, এমনকি দূরবর্তীভাবেও। গবেষকরা বলেছেন যে এই দুর্বলতার প্রভাবগুলির মধ্যে রয়েছে DDoS, তথ্য ফাঁস, দূরবর্তী কোড কার্যকরকরণ, DNS ক্যাশে বিষক্রিয়া এবং নেটওয়ার্ক সেশন হাইজ্যাকিং।

কার্নেগি মেলন বিশ্ববিদ্যালয়ের (মার্কিন যুক্তরাষ্ট্র) সিইআরটি সাইবারসিকিউরিটি কোঅর্ডিনেশন সেন্টার জানিয়েছে যে আমেরিকান মেগাট্রেন্ডস, ইনসাইড সফটওয়্যার, ইন্টেল এবং ফিনিক্স টেকনোলজিস সহ ইউইএফআই বিক্রেতাদের কাছ থেকে বাস্তবায়ন প্রক্রিয়ায় এই ত্রুটিটি সনাক্ত করা হয়েছিল, যদিও তোশিবা প্রভাবিত হয়নি।

ইনসাইড সফটওয়্যার, এএমআই এবং ফিনিক্স টেকনোলজিস সকলেই কোয়ার্কসল্যাবকে নিশ্চিত করেছে যে তারা সমাধান প্রদান করছে। ইতিমধ্যে, গুগল, এইচপি, মাইক্রোসফ্ট, এআরএম, আসুসটেক, সিসকো, ডেল, লেনোভো এবং ভায়োর মতো বড় নাম সহ ১৮টি অন্যান্য বিক্রেতা এখনও বাগটি তদন্ত করছে।

বাগগুলি EDK II এর TCP/IP স্ট্যাক, NetworkPkg-এ থাকে, যা নেটওয়ার্ক বুটিংয়ের জন্য ব্যবহৃত হয় এবং প্রাথমিক বুট পর্যায়গুলি স্বয়ংক্রিয় করার জন্য ডেটা সেন্টার এবং HPC পরিবেশে বিশেষভাবে গুরুত্বপূর্ণ। তিনটি সবচেয়ে গুরুতর বাগ, যার সবকটিই 8.3 CVSS স্কোর সহ, DCHPv6 হ্যান্ডেল বাফার ওভারফ্লো সম্পর্কিত, যার মধ্যে CVE-2023-45230, CVE-2023-45234, এবং CVE-2023-45235 অন্তর্ভুক্ত। অন্যান্য বাগগুলির CVSS স্কোর 5.3 থেকে 7.5 পর্যন্ত।