یک شرکت امنیتی پیشرو در افشای هماهنگ آسیب پذیری چندین آسیب پذیری با شدت بالا در کوالکام است. گل میمون چیپ ست
این آسیبپذیریها در کد مرجع میانافزار Unified Extensible Firmware Interface (UEFI) شناسایی شدند و لپتاپها و دستگاههای مبتنی بر ARM با استفاده از تراشههای Qualcomm Snapdragon را تحت تأثیر قرار میدهند. بر اساس تحقیقات باینرلی.
کوالکام این آسیبپذیریها را فاش کرد در تاریخ 5 ژانویه، همراه با پیوندهای وصله های موجود. لنوو نیز بولتنی منتشر کرده است و یک به روز رسانی بایوس برای رفع نقص در لپ تاپ های آسیب دیده. باینرلی خاطرنشان کرد، با این حال، دو مورد از آسیبپذیریها هنوز برطرف نشدهاند.
در صورت سوء استفاده، این آسیبپذیریهای سختافزاری به مهاجمان اجازه میدهد تا با تغییر متغیری در حافظه غیر فرار، که دادهها را بهطور دائم، حتی زمانی که سیستم خاموش است، ذخیره میکند، کنترل سیستم را به دست آورند. الکس ماتروسوف، بنیانگذار و مدیر عامل Binarly، می گوید که متغیر اصلاح شده مرحله راه اندازی ایمن یک سیستم را به خطر می اندازد و مهاجم می تواند پس از ایجاد اکسپلویت، به سیستم های در معرض خطر دسترسی دائمی داشته باشد.
Matrosov میگوید: «اصولاً مهاجم میتواند متغیرها را از سطح سیستم عامل دستکاری کند.
نقص های سیستم عامل دریچه ای را برای حمله باز می کند
Secure boot سیستمی است که در اکثر رایانه های شخصی و سرورها برای اطمینان از راه اندازی صحیح دستگاه ها مستقر شده است. اگر فرآیند بوت یا دور زدن یا تحت کنترل آنها باشد، دشمنان می توانند کنترل سیستم را در دست بگیرند. آنها می توانند کدهای مخرب را قبل از بارگیری سیستم عامل اجرا کنند. Matrosov میگوید، آسیبپذیریهای میانافزار مانند باز گذاشتن یک در هستند – مهاجم میتواند در زمان روشن شدن سیستم هر زمان که بخواهد به منابع سیستم دسترسی پیدا کند.
ماتروسوف میگوید: «قطعه سفتافزار مهم است زیرا مهاجم میتواند قابلیتهای ماندگاری بسیار بسیار جالبی را به دست آورد، بنابراین میتواند برای طولانی مدت روی دستگاه بازی کند.
این نقصها قابل توجه هستند زیرا بر پردازندههای مبتنی بر معماری ARM تأثیر میگذارند که در رایانههای شخصی، سرورها و دستگاههای تلفن همراه استفاده میشوند. تعدادی از مشکلات امنیتی در تراشه های x86 کشف شده است اینتل و AMDاما ماتروسوف خاطرنشان کرد که این افشاگری نشانگر اولیه نقص های امنیتی موجود در طراحی تراشه های ARM است.
Matrosov میگوید که توسعهدهندگان سیستمافزار نیاز به ایجاد یک ذهنیت امنیتی دارند. امروزه بسیاری از رایانه های شخصی بر اساس مشخصات ارائه شده توسط UEFI Forum بوت می شوند که قلاب هایی را برای تعامل نرم افزار و سخت افزار فراهم می کند.
ما متوجه شدیم که OpenSSL، که در سیستم عامل UEFI استفاده می شود - در نسخه ARM است - بسیار قدیمی است. به عنوان مثال، یکی از ارائه دهندگان اصلی TPM به نام Infineon، آنها از نسخه هشت ساله OpenSSL استفاده می کنند.
پرداختن به سیستم های آسیب دیده
لنوو در بولتن امنیتی خود گفت که این آسیب پذیری بر بایوس لپ تاپ ThinkPad X13s تأثیر گذاشته است. به روز رسانی بایوس نقص ها را برطرف می کند.
Binarly در یادداشتی تحقیقاتی گفت که Windows Dev Kit 2023 مایکروسافت با نام رمز Project Volterra نیز تحت تأثیر این آسیب پذیری قرار گرفته است. Project Volterra برای برنامه نویسان برای نوشتن و تست کد برای سیستم عامل ویندوز 11 طراحی شده است. مایکروسافت از دستگاه Project Volterra برای جذب توسعه دهندگان ویندوز x86 معمولی به اکوسیستم نرم افزاری ARM استفاده می کند، و انتشار این دستگاه در کنفرانس های Build و DevSummit مایکروسافت در سال گذشته یک اعلامیه برتر بود.
La آسیب پذیری Meltdown و Spectre تا حد زیادی بر تراشه های x86 در زیرساخت های سرور و رایانه شخصی تأثیر گذاشت. اما کشف از آسیب پذیری در لایه بوت ARM به ویژه نگران کننده است زیرا معماری یک اکوسیستم متحرک کم مصرف را هدایت می کند که شامل تلفن های هوشمند 5G و ایستگاه های پایه. ایستگاه های پایه به طور فزاینده ای در مرکز ارتباطات دستگاه های لبه و زیرساخت های ابری قرار دارند. ماتروسوف میگوید مهاجمان میتوانند مانند اپراتورها رفتار کنند و در ایستگاههای پایه پافشاری خواهند کرد و هیچکس نمیداند.
او میگوید، مدیران سیستم باید با درک خطری که برای شرکتشان وجود دارد و رسیدگی سریع به آن، نقصهای سیستمافزار را اصلاح کنند. باینری پیشنهاد می کند ابزارهای منبع باز برای شناسایی آسیب پذیری های سیستم عامل.
هر شرکتی سیاستهایی برای ارائه اصلاحات سیستمافزار به دستگاههای خود ندارد. من در گذشته برای شرکتهای بزرگ کار کردهام، و قبل از راهاندازی شرکت خودم، هیچ یک از آنها - حتی این شرکتهای مرتبط با سختافزار - سیاست داخلی برای بهروزرسانی سیستمافزار در لپتاپها و دستگاههای کارمند نداشتند. ماتروسوف می گوید این درست نیست.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- دسترسی
- نشانی
- خطاب به
- مدیران
- اثر
- الکس
- و
- خبر
- معماری
- ARM
- توجه
- در دسترس
- پایه
- مستقر
- اساسا
- زیرا
- قبل از
- ساختن
- پژوهشنامه
- نام
- قابلیت های
- مرکز
- مدیر عامل شرکت
- تراشه
- چیپس
- ابر
- رمز
- ارتباطات
- شرکت
- شرکت
- سازش
- در معرض خطر
- همایش ها
- کنترل
- معمولی
- هماهنگ
- میتوانست
- داده ها
- ارائه
- مستقر
- طراحی
- طرح
- برنامه نویس
- توسعه
- توسعه دهندگان
- دستگاه
- دستگاه ها
- افشاء
- کشف
- کشف
- توسط
- رانندگی
- در اوایل
- اکوسیستم
- لبه
- هر دو
- کارمند
- اطمینان حاصل شود
- حتی
- مثال
- اجرا کردن
- موجود
- بهره برداری
- سوء استفاده قرار گیرد
- ثابت
- معایب
- انجمن
- یافت
- موسس
- موسس و مدیر عامل
- از جانب
- افزایش
- سخت افزار
- قلاب
- اما
- HTML
- HTTPS
- شناسایی
- نهفته
- اثرات
- مهم
- in
- شامل
- به طور فزاینده
- شاخص
- INFINEON
- شالوده
- تعامل
- جالب
- رابط
- داخلی
- صادر
- IT
- ژان
- دانستن
- لپ تاپ
- لپ تاپ
- بزرگ
- تا حد زیادی
- نام
- پارسال
- آخرین
- برجسته
- ترک
- خیر
- سطح
- لینک ها
- طولانی
- عمده
- بسیاری
- حافظه
- مایکروسافت
- ذهنیت
- موبایل
- دستگاه های تلفن همراه
- اصلاح شده
- اکثر
- چندگانه
- نیاز
- قابل توجه
- اشاره کرد
- عدد
- پیشنهادات
- ONE
- باز کن
- openssl
- عملیاتی
- سیستم عامل
- اپراتور
- خود
- ویژه
- گذشته
- پچ های
- پچ کردن
- PC
- رایانه های شخصی
- به طور دائم
- اصرار
- فاز
- قطعه
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- لطفا
- سیاست
- سیاست
- اولویت بندی
- مشکلات
- روند
- پردازنده ها
- برنامه نویسان
- پروژه
- به درستی
- ارائه
- ارائه دهندگان
- فراهم می کند
- کوالکام
- کوالکام اسنپدراگون
- به سرعت
- آزاد
- تحقیق
- منابع
- خطر
- سعید
- امن
- تیم امنیت لاتاری
- سرور
- گوشی های هوشمند
- snapdragon
- So
- نرم افزار
- منبع
- مشخصات
- طیف
- شروع
- آغاز شده
- ایستگاه ها
- هنوز
- پرده
- روشن
- سیستم
- سیستم های
- گرفتن
- آزمون
- La
- شان
- به
- امروز
- ابزار
- بالا
- تبدیل
- زیر
- درک
- یکپارچه
- بروزرسانی
- استفاده کنید
- نسخه
- آسیب پذیری ها
- آسیب پذیری
- که
- اراده
- پنجره
- پنجره 11
- مشغول به کار
- نوشتن
- سال
- زفیرنت