引导加载程序漏洞影响到几乎所有的LIN…

2024年 2月 13日 52.3k 0

填充程序的开发人员发布了一个版本来修复许多安全漏洞,其中一个漏洞可能会在某些情况下远程控制恶意代码的执行。

CVE-2023-40547的CVSS分数为8.3,这意味着它被标记为高。最初,该漏洞的得分为9.8(这将其置于严重类别),但后来情况发生了变化。

此漏洞是在填充程序中发现的,它是在基于UEFI的系统上的主操作系统引导加载程序(如GRUB)之前加载的小型应用程序。

该漏洞可能允许攻击者创建特定的HTTP请求,该请求可能启用受控的越界写入原语,从而可能导致系统完全受损。

根据比尔·德米尔卡皮(来自微软安全响应中心),该漏洞存在于过去十年签署的每一个Linux引导加载程序中。

这个问题的官方描述解释说,“当通过HTTP或相关协议检索文件时,填充程序试图分配缓冲区来存储接收到的数据。不幸的是,这意味着从HTTP标头获取大小,可以对其进行操作以指定小于接收到的数据的大小。在这种情况下,代码意外地使用标头进行分配,但协议元数据从RX缓冲区复制它,从而导致写入越界。”

幸运的是,所有主要发行版都发布了针对该漏洞的修补程序,因此用户只需在其系统上运行更新即可避免暴露在该问题中。
他说:
他说:
他说:

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论