PixieFAIL:数百万台 PC 和笔记本电脑容易受到 UEFI 攻击

阅读量69237

发布时间 : 2024-01-18 10:59:26

Tianocore EDK II 中的 9 个漏洞为黑客提供了完全的恶意行动自由。

法国公司Quarkslab的研究人员在 Tianocore EDK II ( UEFI规范的开放实现)中发现了 许多严重漏洞,可利用这些漏洞进行远程代码执行。

9 个漏洞统称为 PixieFAIL,可导致拒绝服务、信息泄露、远程代码执行、DNS 缓存中毒和网络会话劫持。它们是在检查 NetworkPkg 时发现的,该 NetworkPkg 提供用于网络配置的驱动程序和应用程序。

该漏洞模块被许多制造商使用,包括微软、ARM、Insyde、Phoenix Technologies和AMI。Quarkslab 的 CTO 还确认了 Microsoft 的 Tianocore EDK II 改编项目 Project Mu 中存在易受攻击的代码。

这九个漏洞在以下 CVE 标识符下进行了描述:

  • CVE-2023-45229:处理 DHCPv6 Advertise 消息中 IA_NA/IA_TA 选项时存在整数缺陷;
  • CVE-2023-45230:由于长服务器 ID 选项导致 DHCPv6 客户端出现缓冲区溢出;
  • CVE-2023-45231:处理 ND 重定向消息中的截断选项时出现越界读取;
  • CVE-2023-45232:解析 Destination Options 标头中的未知选项时出现无限循环;
  • CVE-2023-45233:解析 Destination Options 标头中的 PadN 选项时出现无限循环;
  • CVE-2023-45234:处理 DHCPv6 通告消息中的 DNS 服务器时出现缓冲区溢出;
  • CVE-2023-45235:处理 DHCPv6 代理广告消息中的服务器 ID 参数时缓冲区溢出;
  • CVE-2023-45236:可预测的 TCP 起始序列号;
  • CVE-2023-45237:使用弱伪随机数生成器。

Quarkslab 发布了一个PoC漏洞来演示前七个漏洞,允许防御者创建签名来检测感染尝试。

CERT-CC 协调中心发布了 一份通知 ,列出了受影响和潜在易受攻击的制造商,以及实施补丁和保护措施的建议。中心代表确认 Insyde、AMI、Intel 和 Phoenix Technologies 受到影响,但其漏洞的具体状态仍不清楚。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66