تقود شركة أمنية الكشف المنسق عن الثغرات الأمنية المتعددة عالية الخطورة في كوالكوم نبتة أنف العجل شرائح.
تم تحديد الثغرات الأمنية في الرمز المرجعي للبرنامج الثابت لواجهة البرامج الثابتة الموسعة الموحدة (UEFI) وتأثيرها على أجهزة الكمبيوتر المحمولة والأجهزة القائمة على ARM التي تستخدم شرائح Qualcomm Snapdragon ، وفقًا لـ Binarly Research.
كشفت شركة كوالكوم عن نقاط الضعف في 5 كانون الثاني (يناير) ، مع روابط إلى التصحيحات المتاحة. كما أصدرت لينوفو نشرة وتحديث BIOS لمعالجة العيوب في أجهزة الكمبيوتر المحمولة المتأثرة. ومع ذلك ، لم يتم إصلاح اثنتين من الثغرات الأمنية ، كما أشار Binarly.
إذا تم استغلالها ، فإن هذه الثغرات الأمنية تسمح للمهاجمين بالتحكم في النظام من خلال تعديل متغير في الذاكرة غير المتطايرة ، والتي تخزن البيانات بشكل دائم ، حتى عند إيقاف تشغيل النظام. يقول أليكس ماتروسوف ، المؤسس والرئيس التنفيذي لشركة Binarly ، إن المتغير المعدل سيخترق مرحلة التمهيد الآمن للنظام ، ويمكن للمهاجم أن يحصل على وصول مستمر إلى الأنظمة المخترقة بمجرد حدوث الاستغلال.
يقول ماتروسوف: "في الأساس ، يمكن للمهاجم التعامل مع المتغيرات من مستوى نظام التشغيل".
تفتح عيوب البرامج الثابتة الباب أمام الهجمات
التمهيد الآمن هو نظام يتم نشره في معظم أجهزة الكمبيوتر والخوادم لضمان بدء تشغيل الأجهزة بشكل صحيح. يمكن للخصوم السيطرة على النظام إذا تم تجاوز عملية التمهيد أو تحت سيطرتهم. يمكنهم تنفيذ تعليمات برمجية ضارة قبل تحميل نظام التشغيل. الثغرات الأمنية في البرامج الثابتة تشبه ترك الباب مفتوحًا - يمكن للمهاجم الوصول إلى موارد النظام كما يحلو لهم عند تشغيل النظام ، كما يقول ماتروسوف.
يقول ماتروسوف: "قطعة البرنامج الثابت مهمة لأن المهاجم يمكن أن يكتسب قدرات ثبات مثيرة جدًا للاهتمام ، حتى يتمكنوا من اللعب على المدى الطويل على الجهاز".
العيوب ملحوظة لأنها تؤثر على المعالجات القائمة على بنية ARM ، والتي تستخدم في أجهزة الكمبيوتر والخوادم والأجهزة المحمولة. تم اكتشاف عدد من مشكلات الأمان على رقائق x86 من إنتل و AMD، لكن ماتروسوف أشار إلى أن هذا الكشف هو مؤشر مبكر للعيوب الأمنية الموجودة في تصميمات شرائح ARM.
يقول ماتروسوف إن مطوري البرامج الثابتة بحاجة إلى تطوير عقلية الأمان أولاً. يتم تشغيل العديد من أجهزة الكمبيوتر اليوم بناءً على المواصفات التي يوفرها منتدى UEFI ، والذي يوفر الخطافات للبرامج والأجهزة للتفاعل.
"وجدنا أن OpenSSL ، المستخدم في برامج UEFI الثابتة - إنه موجود في إصدار ARM - قديم جدًا. على سبيل المثال ، أحد مزودي TPM الرئيسيين المسمى Infineon ، يستخدمون إصدار OpenSSL عمره ثماني سنوات ، "يقول ماتروسوف.
معالجة الأنظمة المتأثرة
قالت Lenovo في نشرة الأمان الخاصة بها ، إن الثغرة الأمنية أثرت على BIOS لجهاز الكمبيوتر المحمول ThinkPad X13s. تحديث BIOS يصحح العيوب.
قال Binarly في مذكرة بحثية إن Microsoft Windows Dev Kit 2023 ، الذي يحمل الاسم الرمزي Project Volterra ، يتأثر أيضًا بالثغرة الأمنية. تم تصميم Project Volterra للمبرمجين لكتابة واختبار التعليمات البرمجية لنظام التشغيل Windows 11. تستخدم Microsoft جهاز Project Volterra لجذب مطوري x86 Windows التقليديين إلى النظام الإيكولوجي لبرامج ARM ، وكان إصدار الجهاز هو الإعلان الأول في مؤتمري DevSummit التابعين لشركة Microsoft Build و ARM في العام الماضي.
• نقاط ضعف الانهيار والسبكتر أثرت بشكل كبير على شرائح x86 في البنى التحتية للخادم وأجهزة الكمبيوتر. لكن اكتشاف نقاط الضعف في طبقة تمهيد ARM أمر مقلق بشكل خاص لأن البنية تقود نظامًا بيئيًا متنقلًا منخفض الطاقة ، والذي يتضمن الهواتف الذكية 5G والمحطات القاعدية. أصبحت المحطات الأساسية بشكل متزايد في مركز الاتصالات للأجهزة المتطورة والبنى التحتية السحابية. يقول ماتروسوف إن المهاجمين يمكن أن يتصرفوا مثل المشغلين ، وسيكون لديهم المثابرة في المحطات الأساسية ولن يعرف أحد.
يحتاج مسؤولو النظام إلى إعطاء الأولوية لإصلاح عيوب البرامج الثابتة من خلال فهم المخاطر التي تتعرض لها شركاتهم ومعالجتها بسرعة ، كما يقول. عروض Binarly أدوات مفتوحة المصدر لاكتشاف نقاط الضعف في البرامج الثابتة.
"ليست كل شركة لديها سياسات لتقديم إصلاحات البرامج الثابتة لأجهزتها. لقد عملت لدى شركات كبيرة في الماضي ، وقبل أن أبدأ شركتي الخاصة ، لم يكن لدى أي منها - حتى هذه الشركات ذات الصلة بالأجهزة - سياسة داخلية لتحديث البرامج الثابتة على أجهزة الكمبيوتر المحمولة للموظفين. يقول ماتروسوف: "هذا ليس صحيحًا".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- الوصول
- العنوان
- معالجة
- الإداريين
- تؤثر
- اليكس
- و
- اشعارات
- هندسة معمارية
- ARM
- اهتمام
- متاح
- قاعدة
- على أساس
- في الأساس
- لان
- قبل
- نساعدك في بناء
- نشرة
- تسمى
- قدرات
- مركز
- الرئيس التنفيذي
- رقاقة
- شيبس
- سحابة
- الكود
- مجال الاتصالات
- الشركات
- حول الشركة
- حل وسط
- تسوية
- المؤتمرات
- مراقبة
- تقليدي
- منسق
- استطاع
- البيانات
- نقل
- نشر
- تصميم
- تصاميم
- ديف
- تطوير
- المطورين
- جهاز
- الأجهزة
- إفشاء
- اكتشف
- اكتشاف
- منتجات الأبواب
- قيادة
- في وقت مبكر
- النظام الإيكولوجي
- حافة
- إما
- موظف
- ضمان
- حتى
- مثال
- تنفيذ
- القائمة
- استغلال
- استغلال
- ثابت
- العيوب
- المنتدى
- وجدت
- مؤسس
- المؤسس والرئيس التنفيذي
- تبدأ من
- ربح
- أجهزة التبخير
- السنانير
- لكن
- HTML
- HTTPS
- محدد
- أثر
- الآثار
- أهمية
- in
- يشمل
- على نحو متزايد
- مؤشر
- انفينيون
- البنية التحتية
- تفاعل
- وكتابة مواضيع مثيرة للاهتمام
- السطح البيني
- داخلي
- نشر
- IT
- يناير
- علم
- كمبيوتر محمول
- أجهزة الكمبيوتر المحمولة
- كبير
- إلى حد كبير
- اسم العائلة
- العام الماضي
- آخر
- قيادة
- مغادرة
- Lenovo
- مستوى
- وصلات
- طويل
- رائد
- كثير
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- مایکروسافت
- عقلية
- الجوال
- أجهزة محمولة
- تم التعديل
- أكثر
- متعدد
- حاجة
- جدير بالذكر
- وأشار
- عدد
- عروض
- ONE
- جاكيت
- بينسل
- تعمل
- نظام التشغيل
- مشغلي
- الخاصة
- خاصة
- الماضي
- بقع
- الترقيع
- PC
- أجهزة الكمبيوتر
- بشكل دائم
- إصرار
- مرحلة جديدة
- قطعة
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- من فضلك
- سياسات الخصوصية والبيع
- سياسة
- أولويات
- مشاكل
- عملية المعالجة
- المعالجات
- المبرمجين
- تنفيذ المشاريع
- بصورة صحيحة
- المقدمة
- مقدمي
- ويوفر
- كوالكوم
- كوالكوم أنف العجل
- بسرعة
- الافراج عن
- بحث
- الموارد
- المخاطرة
- قال
- تأمين
- أمن
- خوادم
- الهواتف الذكية
- نبتة أنف العجل
- So
- تطبيقات الكمبيوتر
- مصدر
- مواصفات
- طيف
- بداية
- بدأت
- محطات
- لا يزال
- فروعنا
- تحول
- نظام
- أنظمة
- أخذ
- تجربه بالعربي
- •
- من مشاركة
- إلى
- اليوم
- أدوات
- تيشرت
- تحول
- مع
- فهم
- موحد
- تحديث
- تستخدم
- الإصدار
- نقاط الضعف
- الضعف
- التي
- سوف
- نوافذ
- 11 النوافذ
- عمل
- اكتب
- عام
- زفيرنت
