Bir güvenlik şirketi, Qualcomm'daki çok sayıda yüksek önemdeki güvenlik açığının koordineli bir şekilde açıklanmasına öncülük ediyor Aslanağzı yongaseti.
Güvenlik açıkları, Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) ürün yazılımı referans kodunda belirlendi ve ARM tabanlı dizüstü bilgisayarları ve Qualcomm Snapdragon yongalarını kullanan cihazları etkiliyor. Binarly Research'e göre.
Qualcomm güvenlik açıklarını açıkladı Mevcut yamalara bağlantılar ile birlikte 5 Ocak'ta. Lenovo ayrıca bir bülten yayınladı ve etkilenen dizüstü bilgisayarlardaki kusurları gidermek için bir BIOS güncellemesi. Ancak Binarly, güvenlik açıklarından ikisinin hala giderilmediğini belirtti.
Bu donanım açıklarından yararlanılması durumunda, saldırganların, sistem kapatıldığında bile verileri kalıcı olarak saklayan kalıcı bellekteki bir değişkeni değiştirerek sistemin kontrolünü ele geçirmesine olanak sağlanır. Binarly'nin kurucusu ve CEO'su Alex Matrosov, değiştirilen değişkenin sistemin güvenli önyükleme aşamasını tehlikeye atacağını ve bir saldırganın, istismar gerçekleştikten sonra güvenliği ihlal edilen sistemlere kalıcı erişim sağlayabileceğini söylüyor.
Matrosov, "Temel olarak, saldırgan işletim sistemi düzeyindeki değişkenleri manipüle edebilir" diyor.
Firmware Kusurları Saldırılara Kapı Açıyor
Güvenli önyükleme, cihazların düzgün şekilde başlatılmasını sağlamak için çoğu bilgisayarda ve sunucuda dağıtılan bir sistemdir. Önyükleme işlemi atlanırsa veya kontrolleri altına alınırsa, saldırganlar sistemin kontrolünü ele geçirebilir. İşletim sistemi yüklenmeden önce kötü amaçlı kod çalıştırabilirler. Matrosov, aygıt yazılımındaki güvenlik açıklarının bir kapıyı açık bırakmaya benzediğini söylüyor; bir saldırgan, sistem açıldığında istediği zaman sistem kaynaklarına erişim sağlayabilir.
Matrosov, "Bellenim parçası önemlidir, çünkü saldırgan çok ama çok ilginç kalıcılık yetenekleri kazanabilir, böylece cihazda uzun süre oynayabilir" diyor.
Kusurlar dikkat çekici çünkü PC'lerde, sunucularda ve mobil cihazlarda kullanılan ARM mimarisine dayalı işlemcileri etkiliyorlar. x86 yongalarında bir dizi güvenlik sorunu keşfedildi Intel ve AMDancak Matrosov, bu açıklamanın ARM çip tasarımlarında mevcut olan güvenlik kusurlarının erken bir göstergesi olduğunu belirtti.
Matrosov, cihaz yazılımı geliştiricilerinin önce güvenlik odaklı bir zihniyet geliştirmeleri gerektiğini söylüyor. Günümüzde birçok bilgisayar, yazılım ve donanımın etkileşimi için kancalar sağlayan UEFI Forum tarafından sağlanan spesifikasyonlara göre önyükleme yapmaktadır.
"UEFI aygıt yazılımında kullanılan (ARM sürümünde bulunan) OpenSSL'nin çok eski olduğunu gördük. Örnek olarak, önde gelen TPM sağlayıcılarından biri olan Infineon, sekiz yıllık OpenSSL sürümünü kullanıyor" diyor Matrosov.
Etkilenen Sistemleri Ele Alma
Lenovo, güvenlik bülteninde güvenlik açığının ThinkPad X13s dizüstü bilgisayarın BIOS'unu etkilediğini söyledi. BIOS güncellemesi kusurları giderir.
Binarly bir araştırma notunda Microsoft'un Project Volterra kod adlı Windows Dev Kit 2023'ünün de bu güvenlik açığından etkilendiğini söyledi. Project Volterra, programcıların Windows 11 işletim sistemi için kod yazması ve test etmesi için tasarlanmıştır. Microsoft, geleneksel x86 Windows geliştiricilerini ARM yazılım ekosistemine çekmek için Project Volterra cihazını kullanıyor ve cihazın piyasaya sürülmesi, geçen yıl Microsoft'un Build ve ARM'in DevSummit konferanslarında en önemli duyurulardan biriydi.
The Meltdown ve Spectre güvenlik açıkları sunucu ve PC altyapılarındaki x86 yongalarını büyük ölçüde etkiledi. Fakat keşfi ARM'in önyükleme katmanındaki güvenlik açıkları mimarinin düşük güçlü bir mobil ekosistemi yönlendirmesi nedeniyle özellikle endişe vericidir; 5G akıllı telefonlar ve baz istasyonları. Baz istasyonları, uç cihazlar ve bulut altyapıları için giderek daha fazla iletişimin merkezinde yer alıyor. Matrosov, saldırganların operatörler gibi davranabileceğini ve baz istasyonlarında ısrarcı olacaklarını ve bunu kimsenin bilemeyeceğini söylüyor.
Sistem yöneticilerinin, şirketlerinin karşı karşıya olduğu riski anlayarak ve hızlı bir şekilde ele alarak ürün yazılımı kusurlarını düzeltmeye öncelik vermesi gerektiğini söylüyor. İkili teklifler Firmware güvenlik açıklarını tespit etmek için açık kaynak araçları.
“Her şirketin cihazlarına ürün yazılımı düzeltmeleri sunma politikası yoktur. Geçmişte büyük şirketlerde çalıştım ve kendi şirketimi kurmadan önce hiçbirinin, hatta donanımla ilgili şirketlerin bile, çalışanların dizüstü bilgisayarları ve cihazlarındaki donanım yazılımını güncellemeye yönelik dahili bir politikası yoktu. Bu doğru değil” diyor Matrosov.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- erişim
- adres
- adresleme
- yöneticiler
- etkiler
- alex
- ve
- duyuru
- mimari
- ARM
- Dikkat
- mevcut
- baz
- merkezli
- temel olarak
- Çünkü
- önce
- inşa etmek
- bülten
- denilen
- yetenekleri
- Merkez
- ceo
- yonga
- cips
- bulut
- kod
- İletişim
- Şirketler
- şirket
- uzlaşma
- Uzlaşılmış
- konferanslar
- kontrol
- geleneksel
- koordine
- olabilir
- veri
- teslim etmek
- konuşlandırılmış
- tasarlanmış
- tasarımlar
- dev
- geliştirmek
- geliştiriciler
- cihaz
- Cihaz
- ifşa
- keşfetti
- keşif
- Kapı
- sürme
- Erken
- ekosistem
- kenar
- ya
- Işçi
- sağlamak
- Hatta
- örnek
- yürütmek
- mevcut
- sömürmek
- sömürülen
- sabit
- kusurları
- Forum
- bulundu
- kurucu
- Kurucu ve CEO
- itibaren
- Kazanç
- donanım
- Çengeller
- Ancak
- HTML
- HTTPS
- tespit
- etkiledi
- Etkiler
- önemli
- in
- içerir
- giderek
- Gösterge
- Infineon
- altyapı
- etkileşim
- ilginç
- arayüzey
- iç
- Veriliş
- IT
- Ara
- Bilmek
- dizüstü bilgisayar
- dizüstü bilgisayarlar
- büyük
- çok
- Soyad
- Geçen yıl
- son
- önemli
- ayrılma
- Lenovo
- seviye
- bağlantılar
- Uzun
- büyük
- çok
- Bellek
- Microsoft
- Mindset
- Telefon
- mobil cihazlar
- değiştirilmiş
- çoğu
- çoklu
- gerek
- dikkate değer
- ünlü
- numara
- Teklifler
- ONE
- açık
- openssl
- işletme
- işletim sistemi
- operatörler
- kendi
- özellikle
- geçmiş
- Yamalar
- Yama
- PC
- PC'ler
- kalıcı olarak
- sebat
- faz
- parça
- yer
- Platon
- Plato Veri Zekası
- PlatoVeri
- OYNA
- Lütfen
- politikaları
- politika
- Öncelik
- sorunlar
- süreç
- işlemciler
- Programcılar
- proje
- uygun şekilde
- sağlanan
- sağlayıcılar
- sağlar
- Qualcomm
- Qualcomm Snapdragon
- hızla
- serbest
- araştırma
- Kaynaklar
- Risk
- Adı geçen
- güvenli
- güvenlik
- Sunucular
- akıllı telefonlar
- Aslanağzı
- So
- Yazılım
- Kaynak
- özellikler
- spektrum
- başlama
- başladı
- İstasyonlar
- Yine
- mağaza
- anahtarlamalı
- sistem
- Sistemler
- Bizi daha iyi tanımak için
- test
- The
- ve bazı Asya
- için
- bugün
- araçlar
- üst
- Dönük
- altında
- anlayış
- birleşik
- Güncelleme
- kullanım
- versiyon
- güvenlik açıkları
- güvenlik açığı
- hangi
- irade
- pencereler
- , Windows 11
- işlenmiş
- yazmak
- yıl
- zefirnet
