Skip to main content

U-Boot 引导程序曝 6 个漏洞,可绕过验证在启动时执行恶意代码固件安全公司 Binarly 本周披露了 U-Boot 引导程序 FIT 签名验证代码中的 6 个漏洞,其中 2 个可导致任意代码执行,4 个可造成设备崩溃

  1. U-Boot 引导程序曝 6 个漏洞,可绕过验证在启动时执行恶意代码

    固件安全公司 Binarly 本周披露了 U-Boot 引导程序 FIT 签名验证代码中的 6 个漏洞,其中 2 个可导致任意代码执行,4 个可造成设备崩溃。这些漏洞最早可追溯到 U-Boot 2013.07 版本,影响超过 50 个稳定版本及大量下游厂商分支。

    由于漏洞位于固件验证阶段,攻击者可在操作系统和安全软件启动之前执行恶意代码,从而禁用固件安全功能、修改启动流程或植入持久性固件恶意软件。对于支持远程固件更新的 BMC 等系统,攻击者无需物理接触设备即可利用这些漏洞。Binarly 已向 U-Boot 维护者提交补丁并获接受,但修复需要各硬件厂商集成到固件更新后才能分发,已停止支持的老旧设备可能永远无法获得修复。

    BleepingComputer

    🌸 在花频道 · 茶馆水群 · 投稿通道
    🤯 92 😨 17 💊 8 ❤️ 5 🎉 3 💋 1