ຊຸດຂອງ 'ຄົນໃຫຍ່' ມີຂຸມຄວາມປອດໄພຍ້ອນຄວາມນິຍົມຂອງ UEFI

ອີງຕາມ ITNews , Quarkslab ເຕືອນວ່າຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພເຫຼົ່ານີ້ສາມາດຖືກຂູດຮີດໂດຍຜູ້ໂຈມຕີທາງໄກທີ່ບໍ່ໄດ້ຮັບການຢືນຢັນໃນເຄືອຂ່າຍທ້ອງຖິ່ນດຽວກັນ, ແລະໃນບາງກໍລະນີ, ເຖິງແມ່ນວ່າຫ່າງໄກສອກຫຼີກ. ນັກຄົ້ນຄວ້າກ່າວວ່າຜົນກະທົບຂອງຊ່ອງໂຫວ່ເຫຼົ່ານີ້ລວມມີ DDoS, ການຮົ່ວໄຫລຂອງຂໍ້ມູນ, ການປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກ, DNS cache poisoning, ແລະການລັກລອບເຄືອຂ່າຍ.

Một loạt 'ông lớn' dính lỗ hổng bảo mật vì UEFI phổ biến- Ảnh 1. — UEFI ແມ່ນລະບົບ BIOS ທີ່ໃຊ້ທົ່ວໄປທີ່ສຸດ.

ສູນປະສານງານ CERT Cybersecurity ຢູ່ທີ່ມະຫາວິທະຍາໄລ Carnegie Mellon (USA) ກ່າວວ່າຄວາມຜິດພາດນີ້ໄດ້ຖືກລະບຸໄວ້ໃນຂັ້ນຕອນການປະຕິບັດຈາກຜູ້ຂາຍ UEFI, ລວມທັງ American Megatrends, Insyde Software, Intel ແລະ Phoenix Technologies, ໃນຂະນະທີ່ Toshiba ບໍ່ໄດ້ຮັບຜົນກະທົບ.

ຊອບແວ Insyde, AMI, ແລະ Phoenix Technologies ໄດ້ຢືນຢັນທັງຫມົດກັບ Quarkslab ວ່າພວກເຂົາກໍາລັງສະຫນອງການແກ້ໄຂ. ໃນຂະນະດຽວກັນ, ແມງໄມ້ຍັງຖືກສືບສວນໂດຍຜູ້ຂາຍອື່ນໆ 18 ຄົນ, ລວມທັງຊື່ໃຫຍ່ເຊັ່ນ Google, HP, Microsoft, ARM, ASUSTek, Cisco, Dell, Lenovo, ແລະ VAIO.

ແມງໄມ້ຢູ່ໃນ TCP/IP stack ຂອງ EDK II, NetworkPkg, ເຊິ່ງຖືກໃຊ້ສໍາລັບການບູດເຄືອຂ່າຍ ແລະມີຄວາມສໍາຄັນໂດຍສະເພາະໃນສູນຂໍ້ມູນ ແລະສະພາບແວດລ້ອມ HPC ສໍາລັບການອັດຕະໂນມັດໃນຂັ້ນຕອນການບູດເບື້ອງຕົ້ນ. ສາມແມງໄມ້ທີ່ຮຸນແຮງທີ່ສຸດ, ທັງໝົດມີຄະແນນ CVSS ຂອງ 8.3, ແມ່ນກ່ຽວຂ້ອງກັບ DCHPv6 handle buffer overflows, ລວມທັງ CVE-2023-45230, CVE-2023-45234, ແລະ CVE-2023-45235. ແມງໄມ້ອື່ນໆມີຄະແນນ CVSS ຕັ້ງແຕ່ 5.3 ຫາ 7.5.

ແຫຼ່ງທີ່ມາ

: ສູນຂໍ້ມູນ ຄວາມປອດໄພທາງໄຊເບີ ຄວາມປອດໄພເຄືອຂ່າຍ

(0)

No data