影響微軟谷歌旗下產(chǎn)品，研究人員公布 UEFI 漏洞 PixieFAIL

IT之家 1 月 19 日消息，法國網(wǎng)絡(luò)安全公司 Quarkslab 日前公布了一項名為 PixieFAIL 的 UEFI 漏洞，該漏洞允許黑客遠(yuǎn)程發(fā)動 DoS 攻擊、執(zhí)行任意代碼、劫持網(wǎng)絡(luò)會話。包括微軟、ARM、谷歌等公司旗下產(chǎn)品均遭影響。

IT之家注意到，相關(guān)漏洞主要存在于英特爾 TianoCore EDK II 開發(fā)環(huán)境中，由 9 項子漏洞組成，具體列表如下：

• 整數(shù)溢出漏洞：CVE-2023-45229

• 緩沖區(qū)溢出漏洞：CVE-2023-45230、CVE-2023-45234、CVE-2023-45235

• 越界讀取漏洞：CVE-2023-45231

• 循環(huán)漏洞：CVE-2023-45232、CVE-2023-45233

• TCP 序列號預(yù)測漏洞：CVE-2023-45236

• 弱偽隨機數(shù)生成器漏洞：CVE-2023-45237

研究人員指出，當(dāng)下許多企業(yè)計算機及服務(wù)器使用網(wǎng)絡(luò)啟動操作系統(tǒng)，為了提供相關(guān)功能，UEFI 需要在驅(qū)動執(zhí)行環(huán)境（DXE）階段實現(xiàn)了一個完整的 IP 堆棧，從而形成了相關(guān)漏洞，允許黑客在預(yù)啟動執(zhí)行環(huán)境（Preboot Execution Environment，PXE）入侵本地局域網(wǎng)計算機，進而進行惡意行為。

據(jù)悉，由于微軟 Project Mu、谷歌 ChromeOS、Phoenix Technologies 的 SecureCore 等產(chǎn)品中均包含 TianoCore EDK II 部分代碼，因此 PixieFAIL 漏洞也會影響相關(guān)軟件。

實際上，Quarkslab 早在去年 8 月向法國計算機應(yīng)急和協(xié)調(diào)中心（CERT-FR）報告了 PixieFAIL 漏洞，并提供了其中 7 個子漏洞的概念驗證程序。該公司原計劃于去年 11 月 2 日公開披露該漏洞，但收到了各廠商的推遲披露請求，并一再推遲，直到當(dāng)下絕大多數(shù)廠商修復(fù)完成后，該安全公司才最終官宣披露相關(guān)漏洞。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。