پرش به محتوا
آخرین اخبار
۶ آسیب‌پذیری بحرانی U-Boot امنیت میلیون‌ها دستگاه را تهدید می‌کند آلودگی بسته Jscrambler؛ نصب npm به سرقت اطلاعات ختم می‌شود واتس‌اپ راه نفوذ به OpenClaw شد تبلیغ‌افزار چیست و چگونه از آن در امان بمانیم؟ مدیریت هویت و دسترسی (IAM) چیست و چرا یکی از مهم‌ترین ابزارهای امنیت سایبری است؟ هشدار دیتاداگ درباره کارزار شناسایی سازمان‌های GitHub npm ۱۲ با محدودیت‌های امنیتی جدید منتشر شد مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد ۶ آسیب‌پذیری بحرانی U-Boot امنیت میلیون‌ها دستگاه را تهدید می‌کند آلودگی بسته Jscrambler؛ نصب npm به سرقت اطلاعات ختم می‌شود واتس‌اپ راه نفوذ به OpenClaw شد تبلیغ‌افزار چیست و چگونه از آن در امان بمانیم؟ مدیریت هویت و دسترسی (IAM) چیست و چرا یکی از مهم‌ترین ابزارهای امنیت سایبری است؟ هشدار دیتاداگ درباره کارزار شناسایی سازمان‌های GitHub npm ۱۲ با محدودیت‌های امنیتی جدید منتشر شد مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد
اخبار

۶ آسیب‌پذیری بحرانی U-Boot امنیت میلیون‌ها دستگاه را تهدید می‌کند

تیر ۲۱, ۱۴۰۵ نوشتهٔ hraicp3

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی شش آسیب‌پذیری در بوت‌لودر متن‌باز U-Boot خبر دادند؛ نقص‌هایی که می‌توانند به مهاجمان اجازه دهند پیش از راه‌اندازی سیستم‌عامل، کد مخرب اجرا کرده و کنترل کامل دستگاه را در اختیار بگیرند.

به گزارش کمیته رکن چهارم، به نقل از The Hacker News، شرکت Binarly اعلام کرد این آسیب‌پذیری‌ها در مکانیزم اعتبارسنجی امضای FIT (Flattened Image Tree) شناسایی شده‌اند و دو مورد از آن‌ها امکان اجرای کد دلخواه و چهار مورد دیگر امکان از کار انداختن دستگاه را فراهم می‌کنند. از آنجا که U-Boot مسئول بارگذاری سیستم‌عامل در طیف گسترده‌ای از تجهیزات از جمله سرورها، تجهیزات شبکه، سامانه‌های صنعتی و دستگاه‌های اینترنت اشیا (IoT) است، بهره‌برداری از این نقص‌ها می‌تواند مهاجمان را قادر سازد پیش از اجرای سیستم‌عامل، مکانیزم‌های امنیتی را دور زده و بدافزارهای پایدار در سطح میان‌افزار نصب کنند.

بررسی‌های Binarly نشان می‌دهد کد آسیب‌پذیر از نسخه ۲۰۱۳.۰۷ در U-Boot وجود داشته و احتمالاً بیش از ۵۰ نسخه پایدار این پروژه و همچنین نسخه‌های سفارشی تولیدکنندگان سخت‌افزار را تحت تأثیر قرار می‌دهد. پژوهشگران هشدار داده‌اند که در برخی سناریوها، به‌ویژه در سامانه‌هایی مانند BMC که امکان به‌روزرسانی میان‌افزار از راه دور دارند، مهاجمان حتی بدون دسترسی فیزیکی نیز قادر به سوءاستفاده از این آسیب‌پذیری‌ها خواهند بود.

توسعه‌دهندگان U-Boot اصلاحیه هر شش آسیب‌پذیری را در شاخه اصلی پروژه منتشر کرده‌اند، اما کاربران باید منتظر به‌روزرسانی میان‌افزار از سوی سازندگان دستگاه‌های خود باشند. کارشناسان هشدار می‌دهند بسیاری از تجهیزات قدیمی که دیگر به‌روزرسانی دریافت نمی‌کنند، ممکن است برای همیشه در برابر این نقص‌ها آسیب‌پذیر باقی بمانند.

منبع: BleepingComputer