填充程序的开发人员发布了一个版本来修复许多安全漏洞,其中一个漏洞可能会在某些情况下远程控制恶意代码的执行。
CVE-2023-40547的CVSS分数为8.3,这意味着它被标记为高。最初,该漏洞的得分为9.8(这将其置于严重类别),但后来情况发生了变化。
此漏洞是在填充程序中发现的,它是在基于UEFI的系统上的主操作系统引导加载程序(如GRUB)之前加载的小型应用程序。
该漏洞可能允许攻击者创建特定的HTTP请求,该请求可能启用受控的越界写入原语,从而可能导致系统完全受损。
根据比尔·德米尔卡皮(来自微软安全响应中心),该漏洞存在于过去十年签署的每一个Linux引导加载程序中。
这个问题的官方描述解释说,“当通过HTTP或相关协议检索文件时,填充程序试图分配缓冲区来存储接收到的数据。不幸的是,这意味着从HTTP标头获取大小,可以对其进行操作以指定小于接收到的数据的大小。在这种情况下,代码意外地使用标头进行分配,但协议元数据从RX缓冲区复制它,从而导致写入越界。”
幸运的是,所有主要发行版都发布了针对该漏洞的修补程序,因此用户只需在其系统上运行更新即可避免暴露在该问题中。
他说:
他说:
他说: