APP下载

开机载入程式Das U-Boot暗藏程式攻击漏洞

发布于2019-11-08 17:50:33

来自ForAllSecure的两名研究人员Paul Emge 与Zion Basque近日透过GitHub揭露4个有关Das U-Boot的安全漏洞,它们分别是CVE-2019-13103、CVE-2019-13104、CVE-2019-13105及CVE-2019-13106,最严重的状况将允许骇客执行任意程式。

Das U-Boot为一开源的开机载入程式,通常被使用在嵌入式装置中,用来打包可启动装置操作系统核心的指令,它支援ARM、 MIPS、RISC-V与x86等多种电脑架构,不管是Amazon的Kindle、基于ARM的Chromebook或网络装置都采用了Das U-Boot。

不过,研究人员发现Das U-Boot档案系统的驱动程式中含有许多漏洞,例如CVE-2019-13103属于堆积溢位漏洞,可惹来阻断服务攻击或允许骇客执行任意程式。CVE-2019-13104则是个缓冲区溢位漏洞,可能导致内存毁损。CVE-2019-13105会造成内存重复释放。

而CVE-2019-13106则是个更严重的缓冲区溢位漏洞,将让骇客轻易地掌控CPU,从而破坏经过验证的启动。

根据ThreatPost的报导,U-Boot已在2019.10版中修补了相关的漏洞,但除非采用Das U-Boot的装置制造商展开修补,否则依然会带来风险。

研究人员向ThreatPost解释,作为一个经常被使用在嵌入式装置的开机载入程式,其更新周期通常很长,甚至是从不更新,含有漏洞的版本相信还会存在一段时间,但相关漏洞所带来的风险程度,将视装置的配置而定。

相关文章

最新资讯

  • 苹果iPhone与Apple Watch 版Research App上线,支援三项医疗研究
    2019-11-15 16:48
  • 脸书App修好了偷用iPhone 相机的臭虫
    2019-11-15 16:48
  • 小心公共USB充电站让恶意程式上身,美-吁勿使用
    2019-11-15 17:47
  • 武汉军运会展中国风采,海云数据凭安保平台获…
    2019-11-15 16:49
  • Symantec Endpoint Protection遭爆有本地端权限漏洞
    2019-11-15 17:47

手机

  • 华为3款手机遭禁售 即日起P30、P30 Pro、Nova 5T五大电信商全面下架
    2019-11-15 08:47
  • 小米 Note 10 快速开箱 外型、5 镜头相机、人像与夜景模式实拍动眼看
    2019-11-14 16:46
  • 针对 Mate 30 Pro 未内建 Google 服务 讯崴技术总经理:我们不会说服消费者购买我们的产品
    2019-11-14 16:46
  • 三万有找 华为 Mate 30 Pro 即将在台开卖 未搭载 Google GMS 服务、预购送三轴稳定器
    2019-11-14 14:45
  • 高通 Snapdragon 865 爆料参数对比855 Plus和苹果 A13:性能提升20%
    2019-11-14 08:45

数码

  • HTC旗下首款智能手表将在4月中旬发布
    2019-02-20 15:46
  • 苹果MacBook系列将迎来升级:续航或再度飙升
    2019-02-20 15:46
  • 首款低辐射CDMA儿童智能手表伊兜即将线上预售
    2019-02-20 15:46
  • 传4英寸版iPhone和iPad Air 3上半年推出
    2019-02-20 15:46
  • PC都要完了,华为、小米为何还要做笔记本?
    2019-02-20 15:46

科技

  • 一波动图告诉你现在的机器人有多牛逼 模仿婴儿那个看着好恐怖
    2018-07-18 09:31
  • 钛米完成2亿元B轮融资医疗服务机器人频受资本青睐
    2018-07-18 09:31
  • RoboBee团队核心中国成员哈佛大学陈宇峰博士 分享仿生微型机器人在多种环境中的多步态运动
    2018-07-18 09:31
  • 发布未一月降价170元:红米6pro存在意义何在?
    2018-07-18 09:31
  • 拼多多将更新招股书;抖音首次宣布全球月活跃用户数:突破5亿
    2018-07-18 09:31