Tianocore EDK II 中的 9 个漏洞为黑客提供了完全的恶意行动自由。
法国公司Quarkslab的研究人员在 Tianocore EDK II ( UEFI规范的开放实现)中发现了 许多严重漏洞,可利用这些漏洞进行远程代码执行。
9 个漏洞统称为 PixieFAIL,可导致拒绝服务、信息泄露、远程代码执行、DNS 缓存中毒和网络会话劫持。它们是在检查 NetworkPkg 时发现的,该 NetworkPkg 提供用于网络配置的驱动程序和应用程序。
该漏洞模块被许多制造商使用,包括微软、ARM、Insyde、Phoenix Technologies和AMI。Quarkslab 的 CTO 还确认了 Microsoft 的 Tianocore EDK II 改编项目 Project Mu 中存在易受攻击的代码。
这九个漏洞在以下 CVE 标识符下进行了描述:
- CVE-2023-45229:处理 DHCPv6 Advertise 消息中 IA_NA/IA_TA 选项时存在整数缺陷;
- CVE-2023-45230:由于长服务器 ID 选项导致 DHCPv6 客户端出现缓冲区溢出;
- CVE-2023-45231:处理 ND 重定向消息中的截断选项时出现越界读取;
- CVE-2023-45232:解析 Destination Options 标头中的未知选项时出现无限循环;
- CVE-2023-45233:解析 Destination Options 标头中的 PadN 选项时出现无限循环;
- CVE-2023-45234:处理 DHCPv6 通告消息中的 DNS 服务器时出现缓冲区溢出;
- CVE-2023-45235:处理 DHCPv6 代理广告消息中的服务器 ID 参数时缓冲区溢出;
- CVE-2023-45236:可预测的 TCP 起始序列号;
- CVE-2023-45237:使用弱伪随机数生成器。
Quarkslab 发布了一个PoC漏洞来演示前七个漏洞,允许防御者创建签名来检测感染尝试。
CERT-CC 协调中心发布了 一份通知 ,列出了受影响和潜在易受攻击的制造商,以及实施补丁和保护措施的建议。中心代表确认 Insyde、AMI、Intel 和 Phoenix Technologies 受到影响,但其漏洞的具体状态仍不清楚。
发表评论
您还未登录,请先登录。
登录