یک شرکت امنیتی آسیبپذیریهای سختافزاری پیدا کرده است که در صورت کرک شدن، میتواند به هکرها کنترل سیستمها را بدهد.
این آسیبپذیری که توسط Binarly Research فاش شده است، به مهاجم اجازه میدهد تا با تغییر متغیری در حافظه غیر فرار، که دادهها را حتی زمانی که سیستم خاموش است، بهطور دائم ذخیره میکند، کنترل سیستم را به دست آورد.
الکس ماتروسوف، بنیانگذار و مدیر عامل Binarly که ارائه می دهد، گفت: متغیر اصلاح شده مرحله راه اندازی ایمن یک سیستم را به خطر می اندازد و مهاجم می تواند پس از ایجاد اکسپلویت به سیستم های در معرض خطر دسترسی دائمی داشته باشد. ابزارهای متن باز برای شناسایی آسیب پذیری های سیستم عامل
“Basically, the attacker can manipulate variables from the operating system level,” Matrosov said.
آسیب پذیری میان افزار درب را باز می کند
Secure boot سیستمی است که در اکثر رایانه های شخصی و سرورها برای اطمینان از راه اندازی صحیح دستگاه ها مستقر شده است. هکرها می توانند کنترل سیستم را در صورت دور زدن فرآیند بوت یا تحت کنترل آنها در دست بگیرند.
اما برای دستکاری متغیرها، یک کاربر نیاز به دسترسی ممتاز به سیستم دارد. کاربران ممکن است نیاز به دسترسی سرپرست به سیستم های لینوکس یا ویندوز داشته باشند. کد مخرب قبل از بارگیری سیستم عامل اجرا می شود.
“The firmware piece is important because the attacker can gain very, very interesting persistence capabilities, so they can play for the long term on the device,” Matrosov said.
ماتروسوف گفت، این آسیبپذیری مانند باز گذاشتن یک در است – یک هکر میتواند به منابع سیستم دسترسی پیدا کند، همانطور که میخواهد وقتی سیستم روشن میشود.
این آسیب پذیری قابل توجه است زیرا بر پردازنده های مبتنی بر معماری ARM تأثیر می گذارد که در رایانه های شخصی، سرورها و دستگاه های تلفن همراه استفاده می شود. تعدادی از مشکلات امنیتی در تراشه های x86 کشف شده است اینتل و AMD، اما Matrosov خاطرنشان کرد که این افشاگری نشانگر اولیه نقص های امنیتی موجود در طراحی تراشه های ARM است.
هشدار کوالکام درباره اسنپدراگون
The problem springs from a vulnerability affecting Qualcomm’s Snapdragon chipsets, which the شرکت تراشه فاش کرد در تاریخ 5 ژانویه
Qualcomm’s Snapdragon chips are used in laptops and mobile devices. The vulnerabilities could affect a wide range of those devices using Unified Extensible Firmware Interface (UEFI) firmware with Snapdragon chips. A few devices, including PCs from Lenovo and Microsoft, have already been identified.
لنوو در یک بولتن امنیتی issued last week said that the vulnerability affected the BIOS of the ThinkPad X13s laptop, which is based on Qualcomm’s Snapdragon chipset. The company has issued a BIOS update to patch the vulnerability.
Microsoft’s Windows Dev Kit 2023, which is code-named Project Volterra, is also impacted by the vulnerability, Binarly said in a research note. Project Volterra is designed for programmers to write and test code for the Windows 11 operating system. Microsoft is using the Project Volterra device to lure conventional x86 Windows developers into the ARM software ecosystem, and the device’s release was a top announcement at Microsoft’s Build and ARM’s DevSummit conferences last year.
AMD به این معنی است که دستگاه های تلفن همراه آسیب پذیر هستند
The Meltdown and Spectre vulnerabilities largely affected x86 chips in server and PC infrastructures. But the discovery of vulnerabilities in ARM’s boot layer is particularly concerning because the architecture is driving a low-power mobile ecosystem, which includes 5G smartphones and base stations. The base stations are increasingly at the center of communications for edge devices and cloud infrastructures. Attackers could behave like operators, and they will have persistence at base stations and nobody will know, Matrosov said.
او گفت که مدیران سیستم باید با درک خطر برای شرکت خود و رسیدگی سریع به آن، رفع نقص سیستم عامل را در اولویت قرار دهند.
“Not every company has policies to deliver firmware fixes to their devices. I have worked for large companies in the past, and before I started my own company, none of them — even these hardware-related companies — had an internal policy to update the firmware on employee laptops and devices. This is not right,” Matrosov said.
او گفت که توسعه دهندگان سفت افزار همچنین باید یک ذهنیت امنیتی را توسعه دهند. امروزه بسیاری از رایانه های شخصی بر اساس مشخصات ارائه شده توسط UEFI Forum بوت می شوند که قلاب هایی را برای تعامل نرم افزار و سخت افزار فراهم می کند.
“We found that OpenSSL, which is used in UEFI firmware — it’s in the ARM version — is very outdated. As an example, one of the major TPM providers called Infineon, they use an eight-year-old OpenSSL version,” Matrosov said.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 5G
- a
- درباره ما
- دسترسی
- خطاب به
- مدیران
- اثر
- موثر بر
- الکس
- اجازه می دهد تا
- قبلا
- AMD
- و
- خبر
- معماری
- ARM
- پایه
- مستقر
- اساسا
- زیرا
- قبل از
- ساختن
- نام
- قابلیت های
- مرکز
- مدیر عامل شرکت
- تراشه
- چیپس
- چیپ ست
- ابر
- رمز
- ارتباطات
- شرکت
- شرکت
- سازش
- در معرض خطر
- همایش ها
- کنترل
- معمولی
- میتوانست
- داده ها
- ارائه
- مستقر
- طراحی
- طرح
- برنامه نویس
- توسعه
- توسعه دهندگان
- دستگاه
- دستگاه ها
- افشاء
- کشف
- کشف
- توسط
- رانندگی
- در اوایل
- اکوسیستم
- لبه
- هر دو
- کارمند
- اطمینان حاصل شود
- اتر (ETH)
- حتی
- مثال
- اجرا می کند
- موجود
- بهره برداری
- کمی از
- معایب
- انجمن
- یافت
- موسس
- موسس و مدیر عامل
- از جانب
- افزایش
- دادن
- هکر
- هکرها
- سخت افزار
- کمک می کند
- قلاب
- HTML
- HTTPS
- شناسایی
- نهفته
- مهم
- in
- شامل
- از جمله
- به طور فزاینده
- شاخص
- INFINEON
- شالوده
- تعامل
- جالب
- رابط
- داخلی
- صادر
- IT
- ژان
- بسته لوازم
- دانستن
- لپ تاپ
- لپ تاپ
- بزرگ
- تا حد زیادی
- نام
- پارسال
- لایه
- ترک
- خیر
- سطح
- لینوکس
- طولانی
- عمده
- بسیاری
- به معنی
- بحران
- حافظه
- مایکروسافت
- ذهنیت
- موبایل
- دستگاه های تلفن همراه
- اصلاح شده
- اکثر
- نیاز
- قابل توجه
- اشاره کرد
- عدد
- پیشنهادات
- ONE
- باز کن
- باز می شود
- openssl
- عملیاتی
- سیستم عامل
- اپراتور
- سفارش
- خود
- ویژه
- گذشته
- وصله
- پچ کردن
- PC
- رایانه های شخصی
- به طور دائم
- اصرار
- فاز
- قطعه
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- لطفا
- سیاست
- سیاست
- اولویت بندی
- ممتاز
- مشکل
- مشکلات
- روند
- پردازنده ها
- برنامه نویسان
- پروژه
- به درستی
- ارائه
- ارائه دهندگان
- فراهم می کند
- کوالکام
- به سرعت
- محدوده
- آزاد
- تحقیق
- منابع
- خطر
- سعید
- امن
- تیم امنیت لاتاری
- گوشی های هوشمند
- snapdragon
- So
- نرم افزار
- منبع
- مشخصات
- طیف
- شروع
- آغاز شده
- ایستگاه ها
- پرده
- روشن
- سیستم
- سیستم های
- گرفتن
- آزمون
- La
- شان
- به
- امروز
- بالا
- تبدیل
- زیر
- درک
- یکپارچه
- بروزرسانی
- استفاده کنید
- کاربر
- کاربران
- نسخه
- آسیب پذیری ها
- آسیب پذیری
- هشدارها
- هفته
- که
- وسیع
- دامنه گسترده
- اراده
- پنجره
- پنجره 11
- مشغول به کار
- خواهد بود
- نوشتن
- سال
- زفیرنت