- 我的订阅
- 科技
我们正处于一个信息大暴发的时代,每天都能产生数以百万计的新闻资讯!
虽然有大数据推荐,但面对海量数据,通过我们的调研发现,在一个小时的时间里,您通常无法真正有效地获取您感兴趣的资讯!
头条新闻资讯订阅,旨在帮助您收集感兴趣的资讯内容,并且在第一时间通知到您。可以有效节约您获取资讯的时间,避免错过一些关键信息。
法国网络安全公司公布pixiefailuefi漏洞
1月19日消息,法国网络安全公司Quarkslab日前公布了一项名为PixieFAIL的UEFI漏洞,该漏洞允许黑客远程发动DoS攻击、执行任意代码、劫持网络会话。包括微软、ARM、谷歌等公司旗下产品均遭影响。
IT之家注意到,相关漏洞主要存在于英特尔TianoCoreEDKII开发环境中,由9项子漏洞组成,具体列表如下:
整数溢出漏洞:CVE-2023-45229
缓冲区溢出漏洞:CVE-2023-45230、CVE-2023-45234、CVE-2023-45235
越界读取漏洞:CVE-2023-45231
循环漏洞:CVE-2023-45232、CVE-2023-45233
TCP序列号预测漏洞:CVE-2023-45236
弱伪随机数生成器漏洞:CVE-2023-45237
研究人员指出,当下许多企业计算机及服务器使用网络启动操作系统,为了提供相关功能,UEFI需要在驱动执行环境(DXE)阶段实现了一个完整的IP堆栈,从而形成了相关漏洞,允许黑客在预启动执行环境(PrebootExecutionEnvironment,PXE)入侵本地局域网计算机,进而进行恶意行为。
▲图源Quarkslab新闻稿
据悉,由于微软ProjectMu、谷歌ChromeOS、PhoenixTechnologies的SecureCore等产品中均包含TianoCoreEDKII部分代码,因此PixieFAIL漏洞也会影响相关软件。
实际上,Quarkslab早在去年8月向法国计算机应急和协调中心(CERT-FR)报告了PixieFAIL漏洞,并提供了其中7个子漏洞的概念验证程序。该公司原计划于去年11月2日公开披露该漏洞,但收到了各厂商的推迟披露请求,并一再推迟,直到当下绝大多数厂商修复完成后,该安全公司才最终官宣披露相关漏洞。
以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。
快照生成时间:2024-01-20 18:45:19
本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。
信息原文地址:
