APP下载

开机载入程式Das U-Boot暗藏程式攻击漏洞

发布于2019-11-08 17:50:33

来自ForAllSecure的两名研究人员Paul Emge 与Zion Basque近日透过GitHub揭露4个有关Das U-Boot的安全漏洞,它们分别是CVE-2019-13103、CVE-2019-13104、CVE-2019-13105及CVE-2019-13106,最严重的状况将允许骇客执行任意程式。

Das U-Boot为一开源的开机载入程式,通常被使用在嵌入式装置中,用来打包可启动装置操作系统核心的指令,它支援ARM、 MIPS、RISC-V与x86等多种电脑架构,不管是Amazon的Kindle、基于ARM的Chromebook或网络装置都采用了Das U-Boot。

不过,研究人员发现Das U-Boot档案系统的驱动程式中含有许多漏洞,例如CVE-2019-13103属于堆积溢位漏洞,可惹来阻断服务攻击或允许骇客执行任意程式。CVE-2019-13104则是个缓冲区溢位漏洞,可能导致内存毁损。CVE-2019-13105会造成内存重复释放。

而CVE-2019-13106则是个更严重的缓冲区溢位漏洞,将让骇客轻易地掌控CPU,从而破坏经过验证的启动。

根据ThreatPost的报导,U-Boot已在2019.10版中修补了相关的漏洞,但除非采用Das U-Boot的装置制造商展开修补,否则依然会带来风险。

研究人员向ThreatPost解释,作为一个经常被使用在嵌入式装置的开机载入程式,其更新周期通常很长,甚至是从不更新,含有漏洞的版本相信还会存在一段时间,但相关漏洞所带来的风险程度,将视装置的配置而定。

相关文章

最新资讯

  • 周身刀兼抵玩!Canon RF 35mm F1.8 Macro IS 测试
    2020-05-25 23:49
  • 京东PLUS会员购物、跨界权益两翼齐飞 618为“…
    2020-05-25 23:01
  • 618钜惠活动开启!iQOO数款明星机型、定制IP礼…
    2020-05-25 21:53
  • 1000条生产线专供京东!品牌方要联合京东618搞…
    2020-05-25 21:53
  • 看懂MITRE ATT&CK资安产品评测结果,先了解6大侦测类别含义
    2020-05-25 21:49

手机

  • 三星 Galaxy A31 四镜头中阶机开箱 价格不到万元 拍照、跑分、续航比一比
    2020-05-25 16:45
  • 三星 Galaxy A31 开箱 四镜头好拍、高续航中阶机
    2020-05-25 10:47
  • 三星推出战术版 Galaxy S20 为美国国防部订制
    2020-05-23 09:46
  • 中国手机互传联盟扩编:小米、OPPO、vivo、realme、一加、黑鲨、魅族结盟Android 版 Airdrop
    2020-05-22 18:46
  • 中国手机互传联盟扩编:小米、OPPO、vivo、realme、一加、黑鲨、魅族结盟Android版Airdrop
    2020-05-22 16:46

数码

  • 荣耀x10和9x哪个好 荣耀x10和荣耀9x区别对比评测
    2020-05-25 22:53
  • oppoa92s和华为nova7se哪个好 二者对比区别评测买谁好
    2020-05-25 22:53
  • 属于年轻人的录音笔 讯飞智能录音笔A1评测
    2020-05-25 21:55
  • win10推送Wi-Fi和蓝牙驱动程序 适用于特定型号适配器
    2020-05-25 15:50
  • 荣耀智慧屏X1系65 英寸上市:4K全面屏 无开关机广告
    2020-05-25 15:50

科技

  • 野生北野武
    2018-06-08 11:32
  • 从性能到体验至上 手机市场的一次轮回
    2018-06-08 11:32
  • IPO估价过高投资者担忧美团急速扩张影响IPO进程
    2018-06-08 11:32
  • 百元机也要差异化体验?体验国美FenmmyNote
    2018-06-08 11:32
  • VIVONEX现身外国街头摄像头自动升起等黑科技加持帅过iPhoneX
    2018-06-08 12:32