数百种消费和企业设备VUL…

2023年 12月 14日 90.8k 0

LogoFAIL是多年来一直存在的攻击Linux和Windows的漏洞的集合

在黑帽欧洲2023年,法比奥·帕加尼分享了一个演讲关于一组新发现的针对Linux和Windows系统的漏洞,信不信由你,其中涉及徽标。

LogoFAIL是一组漏洞,通过固件内映像解析库中的高影响缺陷,以来自不同固件/BIOS供应商的UEFI代码为目标。

根据比纳利最重要的发现之一是,LogoFAIL不是特定于硅片的,可能会影响x86和基于ARM的设备。LogoFAIL是特定于UEFI和IBV的,因为已经使用了易受攻击的图像解析器的细节。从12月6日将公布的发现来看,这表明了更广泛的影响。

该漏洞最初是在具有Insyde、AMI和Phoenix参考代码的Lenovo设备上发现的,并在公告BRLY-2023-006中报告。

在研究小组能够证明一些来自图像解析固件组件的攻击面之后,它成为了一个“大规模的行业范围的披露”。

LogoFAIL允许攻击者将恶意图像存储在EFI系统分区或固件更新的未签名部分中。在启动时解析映像时,会触发该漏洞,然后可以执行有效负载来劫持该进程并绕过安全功能。

数以百计的消费者和企业设备(来自多家供应商)容易受到攻击。到目前为止,还没有迹象表明何时会修补这个漏洞。
他说:
他说:
他说:

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论