Критические уязвимости обнаружены в U-Boot - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Критические уязвимости обнаружены в U-Boot - «Новости»

✔Критические уязвимости обнаружены в U-Boot - «Новости»

08 июня 2022 448 Новости / Преимущества стилей / Текст / Вёрстка 0

Эксперты NCC Group нашли две критические уязвимости в загрузчике U-Boot, который используется в embedded-системах на базе Linux, включая ChromeOS и Android, а также в устройствах для чтения электронных книг, таких как Amazon Kindle и Kobo eReader. U-Boot поддерживает ряд архитектур, в том числе 68k, ARM, x86, MIPS, Nios, PPC и другие.


Исследователи пишут, что проблемы были обнаруженные в алгоритме дефрагментации IP, реализованном в U-Boot. Баги могут быть использованы для осуществления out-of-bounds записи, а также провоцирования отказа в обслуживании (DoS).


Первая уязвимость, CVE-2022-30790 (9,6 балла по шкале CVSS), связана с перезаписью hole-дескриптора при дефрагментации IP, а это приводит к тому, что метаданные и фрагменты могут быть изменены таким образом, чтобы указывать на одно и то же место. Из-за этого становится возможной перезапись метаданных фрагментированными данными, а перед злоумышленником открывается возможность out-of-bounds записи.


«Эту ошибку можно использовать только в локальной сети, так как она требует создания вредоносного пакета, который, скорее всего, будет отброшен во время маршрутизации. Однако проблему можно эффективно использовать для локального рутирования embedded-устройств на базе Linux», — пишут в NCC Group.


Вторая уязвимость, CVE-2022-30552 (7,1 балла по шкале CVSS), представляет собой переполнение буфера и приводит к отказу в обслуживании.


Ожидается, что баги будут устранены разработчиками U-boot в грядущем патче, а пока исправлений нет, но подчеркивается, что обе уязвимости можно использовать только локально.


Эксперты NCC Group нашли две критические уязвимости в загрузчике U-Boot, который используется в embedded-системах на базе Linux, включая ChromeOS и Android, а также в устройствах для чтения электронных книг, таких как Amazon Kindle и Kobo eReader. U-Boot поддерживает ряд архитектур, в том числе 68k, ARM, x86, MIPS, Nios, PPC и другие. Исследователи пишут, что проблемы были обнаруженные в алгоритме дефрагментации IP, реализованном в U-Boot. Баги могут быть использованы для осуществления out-of-bounds записи, а также провоцирования отказа в обслуживании (DoS). Первая уязвимость, CVE-2022-30790 (9,6 балла по шкале CVSS), связана с перезаписью hole-дескриптора при дефрагментации IP, а это приводит к тому, что метаданные и фрагменты могут быть изменены таким образом, чтобы указывать на одно и то же место. Из-за этого становится возможной перезапись метаданных фрагментированными данными, а перед злоумышленником открывается возможность out-of-bounds записи. «Эту ошибку можно использовать только в локальной сети, так как она требует создания вредоносного пакета, который, скорее всего, будет отброшен во время маршрутизации. Однако проблему можно эффективно использовать для локального рутирования embedded-устройств на базе Linux», — пишут в NCC Group. Вторая уязвимость, CVE-2022-30552 (7,1 балла по шкале CVSS), представляет собой переполнение буфера и приводит к отказу в обслуживании. Ожидается, что баги будут устранены разработчиками U-boot в грядущем патче, а пока исправлений нет, но подчеркивается, что обе уязвимости можно использовать только локально.
CSS
запостил(а)
Oakman
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: