Skip to main content

Argitalpen data: 2022/02/02

Garrantzia:Kritikoa

Kaltetutako baliabideak:

InsydeH2O Hardware-2-Operating System (H2O) UEFI firmwarea, System Management Mode (SMM) erabiltzeagatik.

Kaltetutako fabrikatzaileen zerrenda CERT/CCren oharreko Vendor Information atalean ikus daiteke.

Azalpena:

Binarly-ko efiXplorer ekipoak ikertu zuen eta System Management Mode-k (SMM) zituen memoriaren kudeaketa erako 23 ahultasunen berri eman zion Insyde Software-ri. Pribilegio administratiboak lituzkeen erasotzaile lokal batek (kasu batzuetan urruneko erasotzaile batek) malwarea erabil lezake hardware segurtasun ezaugarriak baliogabetzeko, software iraunkorra instalatzeko eta bacdoor-ak sortzeko informazio sentikorra hedatzearren.

Konponbidea:

Hornitzaileak edo informatika banatzaileak emandako firmwarearen azken bertsio egonkorra instalatzea.

Sistema eragileak eguneraketa automatikoak edo firmwareak kudeatutakoak onartzen baditu, esate baterako Linux Vendor Firmware Service (LVFS), dagozkion softwarearen segurtasun eguneraketak instalatzea. Era berean, Binarly-k UEFI softwarea antzemateko hainbat arau eskaini ditu, FwHunt deituak, ahula den softwarea identifikatzen laguntzeko. LVFS-k FwHunt arau horiek ezartzen ditu ohartarazpen honek eragiten dituen firmwareare eguneraketak antzemateko eta horiek zuzentzen laguntzeko.

Xehetasuna:

Ahultasun hauen ondorioz, egiaztatuta ez dauden edo seguruak ez diren SMI Handler-ak erabiliz sistema eragiletik deituak izan daitezkeen erasoak gerta daitezke. Gainera, kasu batzuetan bug hauek aktibatuak izan daitezke UEFIren abiatzearen hasierako faseetan (bai eta etetean eta ACPI modura berreskuratzean ere) sistema eragilea abiarazia izan aurretik.

Ahultasun hauetarako honako identifikatzaileak esleitu dira: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031 eta CVE-2022-24069.

Encuesta valoración

Etiketak:Eguneraketa, Azpiegitura kritikoak, IoT, Ahultasuna

Partekatu

Linkedin partekatu