- Strokovnjaki za varnost so odkrili napako v računalniški strojni opremi, ki bi lahko hekerjem omogočila tihi dostop do vaše strojne opreme, jo okužili z zlonamerno programsko opremo in celo ukradli vaše občutljive podatke.
- Te pomanjkljivosti se nahajajo v vdelani programski opremi BIOS-a (Basic Input Output System), ki pripravi vaš računalnik na zagon.
- Velika varnostna napaka BIOS-a, pri kateri je mogoče zaobiti preverjanje pristnosti vdelane programske opreme, pomeni, da bodo hekerji lahko prevzeli nadzor nad vašim računalnikom.
Uporabniki operacijskega sistema Windows, ki uporabljajo Lenovo, Intel in druge osebne računalnike, ne bodo všeč novici, da obstaja ovira za ranljivost BIOS-a.
Napake, ki jih je mogoče izkoristiti za pridobitev popolnega administrativnega nadzora nad ciljnim sistemom, je odkrilo podjetje za zaščito vdelane programske opreme Binarly.
Podjetje trdi, da je prizadetih več kot dva ducata proizvajalcev strojne opreme, vključno z vrhunskimi proizvajalci originalne opreme, kot so Intel, AMD in Lenovo.
Pomanjkljivosti z visokim vplivom
UEFI je kratica za Unified Extensible Firmware Interface, ki je temeljna plast za vse sodobne osebne računalnike.
Zagotavlja standardiziran način medsebojne interakcije naprav, vključno s komunikacijo prek omrežja. Skrbnikom omogoča tudi upravljanje konfiguracije različnih naprav, kot so tiskalniki, spletne kamere in drugo.
Z lahkoto lahko odpraviti morebitne težave z BIOS-om še posebej med zagonom z našim odličnim vodnikom.
Vdelana programska oprema Insyde UEFI je ranljiva za 23 napak, ki bi napadalcem omogočile popoln nadzor nad računalnikom, hkrati pa ohranili oddaljeni dostop. Te ranljivosti so kategorizirane kot kritične in močne pomanjkljivosti.
Triindvajset hudih napak
23 od teh ranljivosti je bilo razvrščenih kot kritične ali visoke resnosti in bi zlonamernim akterjem omogočile, da dostopate do končne točke na več načinov, vključno z napadi s tipkanjem, uhajanjem sistemskih informacij ali popolno fizično dostop.
Sledi 23 pomanjkljivostim kot: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-418037,-8-1 CVE-1 -2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-43616 2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Ti trije imajo oceno 9,8 od 10 in so razvrščeni kot zelo uspešni. CVE-2021-45969, CVE-2021-45970 in CVE-2021-45971
Osnovni vzrok težave je bil ugotovljen v referenčni kodi, povezani z okvirno kodo vdelane programske opreme InsydeH2O. Vsi prej omenjeni prodajalci (več kot 25) so uporabljali SDK vdelane programske opreme, ki temelji na Insyde, za razvoj svojih kosov strojne programske opreme (UEFI).
Popravki za odpravo težave
Varnostni raziskovalci pri Insyde so odkrili, da je v nekaterih vdelani programski opremi Intelovih procesorjev izjemno resna varnostna napaka.
Varnostni popravki so dobra stvar, vendar se ne izdajo vedno dovolj hitro. Insyde je izdal popravke vdelane programske opreme za pomoč pri reševanju težave, vendar jih morajo zdaj proizvajalci originalne opreme sprejeti in izdati za prizadete izdelke, kar lahko traja nekaj časa.
Z drugimi besedami, morda boste danes dobili popravek za svoj računalnik, vendar bo morda deloval šele jutri. Poleg tega lahko vaš računalnik po namestitvi postane nedelujoč, če ne namestite tudi popravka za drug del programske opreme, ki ga uporabljate vsak dan.
Nekateri proizvajalci originalne opreme še niso potrdili, da so bili prizadeti, tako da bo minilo nekaj časa. Lahko tudi posodobite svoj BIOS enostavno, če še niste.
Ali so na vaš računalnik vplivale napake BIOS-a? Sporočite nam v spodnjem razdelku za komentarje.
