三家厂商已经根据从美国计算机应急准备小组咨询发布了在计算机启动过程中使用的关键固件中发现的漏洞的修复。
这些漏洞可能允许攻击者绕过一个叫安全启动功能,它验证固件组件进行正确的数字签名,保证了软件的真实性。攻击者可随后更换设备的固件。
的缺陷在于一些UEFI(统一可扩展固件接口)系统内,则咨询所述。UEFI是被设计在BIOS以改善固件接口。
的UEFI S3恢复路径内的引导脚本“驻留在非保护存储可以与被攻击者篡改访问物理存储器”的咨询说过。
经过身份验证的远程攻击者可以绕过安全引导和复燃,或更换,固件即使签名的固件更新都应该使用。攻击还可能导致系统无法使用。
一些厂商已经采取了行动。美国Megatrends公司(AMI),这使得BIOS和UEFI固件,已经“一个通用的基础上解决这一问题,并与OEM厂商合作,以实现修复现场和生产项目。”
英特尔和凤凰科技,这也使得UEFI软件,已经发布的修复程序,顾问说。
该咨询是由美国CERT周一发行的三强之一。该机构还警告说,一些英特尔芯片组,可以让一个BIOS锁定机制的旁路的“比赛条件”的漏洞,使得恶意代码插入到固件。
美国Megatrends和凤凰科技已经发布更新来解决这个问题,但它是未知的,如果其他主要供应商可能会受到影响,根据咨询。
美国CERT还警告在第三咨询在开源EDK1项目的UEFI参考实现缓冲区溢出。使用该固件,系微公司,一个受影响的供应商有固定的问题。
美国Megatrends,苹果,IBM,英特尔和凤凰科技不会受到该缺陷。然而,这不是已知的其他大厂商是否可能是脆弱的。