Siyam ka mga kahuyangan ang giila sa UEFI firmware base sa TianoCore EDK2 open platform, kasagarang gigamit sa mga sistema sa server, nga kolektibong gi-codenamed nga PixieFAIL. Ang mga kahuyangan anaa sa network firmware stack nga gigamit sa pag-organisar sa network boot (PXE). Ang labing delikado nga mga kahuyangan nagtugot sa usa ka wala mapamatud-an nga tig-atake sa pagpatuman sa hilit nga code sa lebel sa firmware sa mga sistema nga nagtugot sa PXE nga mag-boot sa usa ka IPv9 network.
Ang dili kaayo grabe nga mga problema moresulta sa pagdumili sa serbisyo (boot blocking), pag-leakage sa impormasyon, pagkahilo sa cache sa DNS, ug pag-hijack sa sesyon sa TCP. Kadaghanan sa mga kahuyangan mahimong mapahimuslan gikan sa lokal nga network, apan ang pipila ka mga kahuyangan mahimo usab nga atakehon gikan sa usa ka eksternal nga network. Ang usa ka tipikal nga senaryo sa pag-atake nagsugod sa pagmonitor sa trapiko sa usa ka lokal nga network ug pagpadala sa espesyal nga gidisenyo nga mga pakete kung ang kalihokan nga may kalabotan sa pag-boot sa sistema pinaagi sa PXE nakit-an. Ang pag-access sa download server o DHCP server dili kinahanglan. Aron ipakita ang teknik sa pag-atake, ang mga pagpahimulos sa prototype gipatik.
Ang UEFI firmware base sa TianoCore EDK2 nga plataporma gigamit sa daghang dagkong kompanya, cloud providers, data centers ug computing clusters. Sa partikular, ang huyang nga module sa NetworkPkg nga adunay pagpatuman sa PXE boot gigamit sa firmware nga gihimo sa ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell ug Microsoft (Project Mu ). Ang mga kahuyangan gituohan usab nga makaapekto sa ChromeOS platform, nga adunay EDK2 nga pakete sa repository, apan ang Google miingon nga kini nga pakete wala gigamit sa firmware alang sa Chromebooks ug ang ChromeOS nga plataporma wala maapektuhan sa problema.
Giila nga mga kahuyangan:
- CVE-2023-45230 - Usa ka buffer overflow sa DHCPv6 client code, gipahimuslan pinaagi sa pagpasa sa dugay nga server ID (Server ID option).
- CVE-2023-45234 - Usa ka buffer overflow mahitabo sa diha nga ang pagproseso sa usa ka opsyon uban sa DNS server parameters gipasa sa usa ka mensahe nga nagpahibalo sa presensya sa usa ka DHCPv6 server.
- CVE-2023-45235 - Pag-awas sa buffer kung giproseso ang opsyon sa Server ID sa mga mensahe sa pahibalo sa proxy sa DHCPv6.
- Ang CVE-2023-45229 usa ka integer underflow nga mahitabo sa panahon sa pagproseso sa IA_NA/IA_TA nga mga opsyon sa DHCPv6 nga mga mensahe nga nag-advertise sa DHCP server.
- CVE-2023-45231 Usa ka out-of-buffer data leak mahitabo sa diha nga pagproseso sa ND Redirect (Neighbor Discovery) nga mga mensahe uban sa giputol nga mga bili sa opsyon.
- CVE-2023-45232 Usa ka walay kinutuban nga loop mahitabo sa diha nga ang pag-parse sa wala mailhi nga mga kapilian sa Destination Options header.
- CVE-2023-45233 Usa ka walay kinutuban nga loop mahitabo sa diha nga ang pag-parse sa PadN kapilian sa packet header.
- CVE-2023-45236 - Paggamit sa matag-an nga TCP sequence seeds aron tugotan ang TCP connection wedging.
- CVE-2023-45237 - Paggamit sa usa ka dili kasaligan nga pseudo-random nga generator sa numero nga nagpatunghag matag-an nga kantidad.
Ang mga kahuyangan gisumite sa CERT/CC kaniadtong Agosto 3, 2023, ug ang petsa sa pagbutyag gieskedyul sa Nobyembre 2. Bisan pa, tungod sa panginahanglan alang sa usa ka koordinado nga pagpagawas sa patch sa daghang mga tigbaligya, ang petsa sa pagpagawas sa sinugdan gibalik sa Disyembre 1, dayon gibalik sa Disyembre 12 ug Disyembre 19, 2023, apan sa katapusan gipadayag kaniadtong Enero 16, 2024. Sa parehas nga oras, gihangyo sa Microsoft nga i-postpone ang pagmantala sa kasayuran hangtod sa Mayo.
Source: opennet.ru