Řada „velkých hráčů“ má bezpečnostní díry kvůli popularitě UEFI

Podle serveru ITNews společnost Quarkslab varovala, že tyto bezpečnostní zranitelnosti mohou být zneužity neověřenými vzdálenými útočníky ve stejné lokální síti a v některých případech i na dálku. Výzkumníci uvedli, že mezi dopady těchto zranitelností patří DDoS, únik informací, vzdálené spuštění kódu, otrava DNS mezipaměti a únos síťových relací.

Koordinační centrum pro kybernetickou bezpečnost CERT na Carnegie Mellon University (USA) uvedlo, že tato chyba byla zjištěna v procesu implementace u dodavatelů UEFI, včetně společností American Megatrends, Insyde Software, Intel a Phoenix Technologies, zatímco společnosti Toshiba se chyba nedotkla.

Společnosti Insyde Software, AMI a Phoenix Technologies serveru Quarkslab potvrdily, že poskytují opravy. Chybu mezitím stále vyšetřuje 18 dalších dodavatelů, včetně velkých jmen jako Google, HP, Microsoft, ARM, ASUSTek, Cisco, Dell, Lenovo a VAIO.

Chyby se nacházejí v TCP/IP stacku EDK II, NetworkPkg, který se používá pro bootování ze sítě a je obzvláště důležitý v datových centrech a prostředích HPC pro automatizaci raných fází bootování. Tři nejzávažnější chyby, všechny se skóre CVSS 8,3, souvisejí s přetečením vyrovnávací paměti handle DCHPv6, včetně CVE-2023-45230, CVE-2023-45234 a CVE-2023-45235. Ostatní chyby mají skóre CVSS v rozmezí od 5,3 do 7,5.