ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > PixieFAIL - เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบขเบนเปˆเปƒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบเป€เบŸเบตเบกเปเบง UEFI เบ—เบตเปˆเปƒเบŠเป‰เบชเบณเบฅเบฑเบšเบเบฒเบ™เบšเบนเบ” PXE

PixieFAIL - เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบขเบนเปˆเปƒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบเป€เบŸเบตเบกเปเบง UEFI เบ—เบตเปˆเปƒเบŠเป‰เบชเบณเบฅเบฑเบšเบเบฒเบ™เบšเบนเบ” PXE

เป€เบเบปเป‰เบฒเบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธเป„เบงเป‰เปƒเบ™เป€เบŸเบตเบกเปเบง UEFI เป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเปเบžเบฅเบฐเบ•เบฐเบŸเบญเบกเป€เบ›เบตเบ” TianoCore EDK2, เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เบ—เบปเปˆเบงเป„เบ›เปƒเบ™เบฅเบฐเบšเบปเบšเป€เบŠเบตเบŸเป€เบงเบต, เบฅเบงเบšเบฅเบงเบกเบŠเบทเปˆเบฅเบฐเบซเบฑเบ” PixieFAIL. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปเบกเปˆเบ™เบกเบตเบขเบนเปˆเปƒเบ™ stack firmware เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เบตเปˆเปƒเบŠเป‰เปƒเบ™เบเบฒเบ™เบˆเบฑเบ”เบงเบฒเบ‡ network boot (PXE). เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ—เบตเปˆเบชเบธเบ”เป€เบฎเบฑเบ”เปƒเบซเป‰เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบ—เบตเปˆเบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบ„เบงเบฒเบกเบ–เบทเบเบ•เป‰เบญเบ‡เบชเบฒเบกเบฒเบ”เบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบฐเบซเบฑเบ”เป„เบฅเบเบฐเป„เบเปƒเบ™เบฅเบฐเบ”เบฑเบšเป€เบŸเบตเบกเปเบงเปƒเบ™เบฅเบฐเบšเบปเบšเบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เป€เบ›เบตเบ” PXE เบœเปˆเบฒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบ IPv9.

เบšเบฑเบ™เบซเบฒเบ—เบตเปˆเบฎเบธเบ™เปเบฎเบ‡เบซเบ™เป‰เบญเบเป€เบฎเบฑเบ”เปƒเบซเป‰เบเบฒเบ™เบ›เบฐเบ•เบดเป€เบชเบ”เบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™ (เบเบฒเบ™เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบเบฒเบ™เบšเบนเบ”), เบเบฒเบ™เบฎเบปเปˆเบงเป„เบซเบฅเบ‚เบญเบ‡เบ‚เปเป‰เบกเบนเบ™, เบเบฒเบ™เป€เบ›เบฑเบ™เบžเบดเบ”เบ‚เบญเบ‡ DNS cache, เปเบฅเบฐ TCP session hijacking. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบชเปˆเบงเบ™เปƒเบซเบเปˆเบชเบฒเบกเบฒเบ”เบ–เบทเบเบ‚เบนเบ”เบฎเบตเบ”เบˆเบฒเบเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เป‰เบญเบ‡เบ–เบดเปˆเบ™, เปเบ•เปˆเบšเบฒเบ‡เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบเบฑเบ‡เบชเบฒเบกเบฒเบ”เบ–เบทเบเป‚เบˆเบกเบ•เบตเบˆเบฒเบเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบžเบฒเบเบ™เบญเบ. เบชเบฐเบ–เบฒเบ™เบฐเบเบฒเบ™เบเบฒเบ™เป‚เบˆเบกเบ•เบตเบ›เบปเบเบเบฐเบ•เบดเบˆเบฐเบ•เบปเป‰เบกเบฅเบปเบ‡เป„เบ›เปƒเบ™เบเบฒเบ™เบ•เบดเบ”เบ•เบฒเบกเบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เปƒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เป‰เบญเบ‡เบ–เบดเปˆเบ™เปเบฅเบฐเบชเบปเปˆเบ‡เปเบžเบฑเบเป€เบเบฑเบ”เบ—เบตเปˆเบ–เบทเบเบญเบญเบเปเบšเบšเบžเบดเป€เบชเบ”เป€เบกเบทเปˆเบญเบเบดเบ”เบˆเบฐเบเปเบฒเบ—เบตเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบšเบเบฒเบ™เบšเบนเบ”เบฅเบฐเบšเบปเบšเบœเปˆเบฒเบ™ PXE เบ–เบทเบเบเบงเบ”เบžเบปเบš. เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบ”เบฒเบงเป‚เบซเบผเบ”เบซเบผเบทเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ DHCP เปเบกเปˆเบ™เบšเปเปˆเบˆเปเบฒเป€เบ›เบฑเบ™. เป€เบžเบทเปˆเบญเบชเบฐเปเบ”เบ‡เปƒเบซเป‰เป€เบซเบฑเบ™เป€เบ–เบดเบ‡เป€เบ•เบฑเบเบ™เบดเบเบเบฒเบ™เป‚เบˆเบกเบ•เบต, เบเบฒเบ™เบ‚เบธเบ”เบ„เบปเป‰เบ™เปเบšเบšเบ•เบปเป‰เบ™เปเบšเบšเป„เบ”เป‰เบ–เบทเบเป€เบœเบตเบเปเบœเปˆ.

เป€เบŸเบตเบกเปเบง UEFI เป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเปเบžเบฅเบฐเบ•เบฐเบŸเบญเบก TianoCore EDK2 เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เปƒเบ™เบšเปเบฅเบดเบชเบฑเบ”เบ‚เบฐเบซเบ™เบฒเบ”เปƒเบซเบเปˆเบˆเปเบฒเบ™เบงเบ™เบซเบผเบฒเบ, เบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบŸเบฑเบ‡, เบชเบนเบ™เบ‚เปเป‰เบกเบนเบ™เปเบฅเบฐเบเบธเปˆเบกเบ„เบญเบกเบžเบดเบงเป€เบ•เบตเป‰. เป‚เบ”เบเบชเบฐเป€เบžเบฒเบฐ, เป‚เบกเบ”เบนเบ™ NetworkPkg เบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบชเปˆเบฝเบ‡เบ—เบตเปˆเบกเบตเบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เบšเบนเบ” PXE เปเบกเปˆเบ™เปƒเบŠเป‰เปƒเบ™เป€เบŸเบตเบกเปเบงเบ—เบตเปˆเบžเบฑเบ”เบ—เบฐเบ™เบฒเป‚เบ”เบ ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell เปเบฅเบฐ Microsoft (Project Mu ). เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบเบฑเบ‡เบ–เบทเบเป€เบŠเบทเปˆเบญเบงเปˆเบฒเบˆเบฐเบชเบปเปˆเบ‡เบœเบปเบ™เบเบฐเบ—เบปเบšเบ•เปเปˆเปเบžเบฅเบฐเบ•เบฐเบŸเบญเบก ChromeOS, เป€เบŠเบดเปˆเบ‡เบกเบตเปเบžเบฑเบเป€เบเบฑเบ” EDK2 เบขเบนเปˆเปƒเบ™เบšเปˆเบญเบ™เป€เบเบฑเบšเบกเป‰เบฝเบ™, เปเบ•เปˆ Google เบเปˆเบฒเบงเบงเปˆเบฒเบŠเบธเบ”เบ™เบตเป‰เบšเปเปˆเป„เบ”เป‰เปƒเบŠเป‰เปƒเบ™เป€เบŸเบตเบกเปเบงเบชเปเบฒเบฅเบฑเบš Chromebooks เปเบฅเบฐเปเบžเบฅเบฐเบ•เบฐเบŸเบญเบก ChromeOS เบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบœเบปเบ™เบเบฐเบ—เบปเบšเบˆเบฒเบเบšเบฑเบ™เบซเบฒ.

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบฅเบฐเบšเบธเป„เบงเป‰:

  • CVE-2023-45230 - buffer overflow เปƒเบ™เบฅเบฐเบซเบฑเบ”เบฅเบนเบเบ„เป‰เบฒ DHCPv6, เบ–เบทเบเบ‚เบนเบ”เบฎเบตเบ”เป‚เบ”เบเบเบฒเบ™เบ–เปˆเบฒเบเบ—เบญเบ” ID เป€เบŠเบตเบšเป€เบงเบตเบ”เบปเบ™เป€เบเบตเบ™เป„เบ› (เบ•เบปเบงเป€เบฅเบทเบญเบ ID เป€เบŠเบตเบšเป€เบงเบต).
  • CVE-2023-45234 - buffer overflow เป€เบเบตเบ”เบ‚เบถเป‰เบ™เปƒเบ™เป€เบงเบฅเบฒเบ—เบตเปˆเบเบฒเบ™เบ›เบฐเบกเบงเบ™เบœเบปเบ™เบ—เบฒเบ‡เป€เบฅเบทเบญเบเบ—เบตเปˆเบกเบตเบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™ DNS server เบœเปˆเบฒเบ™เปƒเบ™เบ‚เปเป‰เบ„เบงเบฒเบกเบ›เบฐเบเบฒเบ”เบเบฒเบ™เบกเบตเบ‚เบญเบ‡เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ DHCPv6.
  • CVE-2023-45235 - Buffer overflow เป€เบกเบทเปˆเบญเบ›เบฐเบกเบงเบ™เบœเบปเบ™เบ•เบปเบงเป€เบฅเบทเบญเบ Server ID เปƒเบ™เบ‚เปเป‰เบ„เบงเบฒเบกเบ›เบฐเบเบฒเบ”เบžเบฃเบฑเบญเบเบŠเบต DHCPv6.
  • CVE-2023-45229 เป€เบ›เบฑเบ™ integer underflow เบ—เบตเปˆเป€เบเบตเบ”เบ‚เบทเป‰เบ™เปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เบ›เบฐเบกเบงเบ™เบœเบปเบ™เบ•เบปเบงเป€เบฅเบทเบญเบ IA_NA/IA_TA เปƒเบ™เบ‚เปเป‰เบ„เบงเบฒเบก DHCPv6 เป‚เบ„เบชเบฐเบ™เบฒเป€เบŠเบตเบšเป€เบงเบต DHCP.
  • CVE-2023-45231 เบเบฒเบ™เบฎเบปเปˆเบงเป„เบซเบผเบ‚เบญเบ‡เบ‚เปเป‰เบกเบนเบ™เบ™เบญเบเบฅเบฐเบšเบปเบšเป€เบเบตเบ”เบ‚เบถเป‰เบ™เป€เบกเบทเปˆเบญเบ›เบฐเบกเบงเบ™เบœเบปเบ™เบ‚เปเป‰เบ„เบงเบฒเบก ND Redirect (Neighbor Discovery) เบ—เบตเปˆเบกเบตเบ„เปˆเบฒเบ—เบฒเบ‡เป€เบฅเบทเบญเบเบ—เบตเปˆเบ–เบทเบเบ•เบฑเบ”เบญเบญเบ.
  • CVE-2023-45232 เบฎเบญเบšเบ—เบตเปˆเบšเปเปˆเบกเบตเบ‚เบญเบšเป€เบ‚เบ”เป€เบเบตเบ”เบ‚เบถเป‰เบ™เป€เบกเบทเปˆเบญเปเบเบเบงเบดเป€เบ„เบฒเบฐเบ•เบปเบงเป€เบฅเบทเบญเบเบ—เบตเปˆเบšเปเปˆเบฎเบนเป‰เบˆเบฑเบเบขเบนเปˆเปƒเบ™เบชเปˆเบงเบ™เบซเบปเบงเบ•เบปเบงเป€เบฅเบทเบญเบเบ›เบฒเบเบ—เบฒเบ‡.
  • CVE-2023-45233 เบฎเบญเบšเบ—เบตเปˆเบšเปเปˆเบกเบตเบ‚เบญเบšเป€เบ‚เบ”เป€เบเบตเบ”เบ‚เบถเป‰เบ™เป€เบกเบทเปˆเบญเบงเบดเป€เบ„เบฒเบฐเบ•เบปเบงเป€เบฅเบทเบญเบ PadN เปƒเบ™เบชเปˆเบงเบ™เบซเบปเบงเบ‚เบญเบ‡เปเบžเบฑเบเป€เบเบฑเบ”.
  • CVE-2023-45236 - เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เป€เบกเบฑเบ” TCP เบ—เบตเปˆเบ„เบฒเบ”เป€เบ”เบปเบฒเป„เบ”เป‰เป€เบžเบทเปˆเบญเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ TCP wedging.
  • CVE-2023-45237 โ€“ เปƒเบŠเป‰เป€เบ„เบทเปˆเบญเบ‡เบชเป‰เบฒเบ‡เบ•เบปเบงเป€เบฅเบเปเบšเบšเบชเบธเปˆเบกเบ—เบตเปˆเบšเปเปˆเปœเป‰เบฒเป€เบŠเบทเปˆเบญเบ–เบทเบ—เบตเปˆเบชเป‰เบฒเบ‡เบ„เปˆเบฒเบ—เบตเปˆเบ„เบฒเบ”เป€เบ”เบปเบฒเป„เบ”เป‰.

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป„เบ”เป‰เบ–เบทเบเบชเบปเปˆเบ‡เปƒเบซเป‰ CERT/CC เปƒเบ™เบงเบฑเบ™เบ—เบต 3 เบชเบดเบ‡เบซเบฒ 2023, เปเบฅเบฐเบงเบฑเบ™เบ—เบตเป€เบ›เบตเบ”เป€เบœเบตเบเปเบกเปˆเบ™เป„เบ”เป‰เบเปเบฒเบ™เบปเบ”เบงเบฑเบ™เบ—เบต 2 เบžเบฐเบˆเบดเบ. เบขเปˆเบฒเบ‡เปƒเบ”เบเปเบ•เบฒเบก, เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบ„เบงเบฒเบกเบ•เป‰เบญเบ‡เบเบฒเบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ›เบฐเบชเบฒเบ™เบ‡เบฒเบ™ patch เบ›เปˆเบญเบเปƒเบ™เบ—เบปเปˆเบงเบœเบนเป‰เบ‚เบฒเบเบซเบผเบฒเบ, เบงเบฑเบ™เบ—เบตเบ›เปˆเบญเบเปƒเบ™เป€เบšเบทเป‰เบญเบ‡เบ•เบปเป‰เบ™เป„เบ”เป‰เบ–เบทเบ pushed เบเบฑเบšเป„เบ›เบงเบฑเบ™เบ—เบต 1 เป€เบ”เบทเบญเบ™เบ—เบฑเบ™เบงเบฒ, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™ pushed เบเบฑเบšเป„เบ›เบงเบฑเบ™เบ—เบต 12 เป€เบ”เบทเบญเบ™เบ—เบฑเบ™เบงเบฒเปเบฅเบฐ 19 เป€เบ”เบทเบญเบ™เบ—เบฑเบ™เบงเบฒ, 2023, เปเบ•เปˆเปƒเบ™เบ—เบตเปˆเบชเบธเบ”เป„เบ”เป‰เบ–เบทเบเป€เบ›เบตเบ”เป€เบœเบตเบเปƒเบ™เบงเบฑเบ™เบ—เบต 16 เบกเบฑเบ‡เบเบญเบ™ 2024. เปƒเบ™เบ‚เบฐเบ™เบฐเบ”เบฝเบงเบเบฑเบ™, Microsoft เป„เบ”เป‰เบ‚เปเปƒเบซเป‰เป€เบฅเบทเปˆเบญเบ™เบเบฒเบ™เบžเบดเบกเป€เบœเบตเบเปเบœเปˆเบ‚เปเป‰เบกเบนเบ™เบˆเบปเบ™เบเปˆเบงเบฒเป€เบ”เบทเบญเบ™เบžเบถเบ”เบชเบฐเบžเบฒ.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™