Siber güvenlik tedarikçisi Quarkslab’ın araştırmacıları, ilk olarak Intel tarafından yazılan açık kaynaklı referans UEFI uygulaması TianoCore EDK II’de toplam dokuz güvenlik açığı konusunda uyarıda bulunuyor.
Şirket, hataların “aynı yerel ağdaki kimliği doğrulanmamış uzak saldırganlar tarafından ve bazı durumlarda uzak ağlardaki saldırganlar tarafından istismar edilebileceği” konusunda uyarıyor.
Araştırmacılar, “Bu güvenlik açıklarının etkisi arasında hizmet reddi, bilgi sızıntısı, uzaktan kod yürütme, DNS önbellek zehirlenmesi ve ağ oturumunun ele geçirilmesi yer alıyor” dedi.
Quarkslab tarafından yayınlanan kavram kanıtlama kodu, güvenlik açıklarına yönelik tespit imzalarının oluşturulmasına yardımcı olacaktır.
Carnegie Mellon CERT Koordinasyon Merkezi’ne (CERT-CC) göre hata, American Megatrends, Insyde Software, Intel ve Phoenix Technologies’in uygulamalarında tespit edildi; Toshiba etkilenmezken.
Insyde Software, AMI ve Phoenix Technologies, Quarkslab’a düzeltmeler göndereceklerini söylediler.
Hata, Google, HP, Microsoft, ARM, ASUSTek, Cisco, Dell, Lenovo ve VAIO gibi önemli isimlerin de aralarında bulunduğu 18 satıcı tarafından halen araştırılıyor.
CERT-CC, güvenlik açıklarının etkilerinin arasında “uzaktan kod yürütme, DoS saldırıları, DNS önbellek zehirlenmesi ve/veya hassas bilgilerin olası sızıntısı” yer alıyor.
Hatalar, ağ önyüklemesi için kullanılan ve veri merkezlerinde ve HPC ortamlarında erken önyükleme aşamalarını otomatikleştirmek için özellikle önemli olan EDK II’nin TCP/IP yığını NetworkPkg’de bulunuyor.
En ciddi üç hata. CVSS puanı 8,3 olanların tümü DCHPv6 işleme arabellek aşımlarıdır: CVE-2023-45230, CVE-2023-45234 ve CVE-2023-45235.
Diğer hatalar CVE-2023-45229 (CVSS puanı 6,5), CVE-2023-45231 (CVSS puanı 6,5), CVE-2023-45232 (CVSS puanı 7,5), CVE-2023-45233 (CVSS puanı 7,5), CVE-2023-45233 (CVSS puanı 7,5), CVE-2023-45232 (CVSS puanı 7,5). 2023-45236 (CVSS puanı 5,8) ve CVE-2023-45237 (CVSS puanı 5,3).