E iwa nga whakaraeraetanga kua kitea i roto i te UEFI firmware i runga i te TianoCore EDK2 tūāpapa tuwhera, e whakamahia nuitia ana i runga i nga punaha tūmau, ko te ingoa ingoa PixieFAIL. Ko nga whakaraeraetanga kei roto i te taaputanga firmware whatunga i whakamahia hei whakarite i te whawhai whatunga (PXE). Ko nga whakaraeraetanga tino kino ka taea e te kaitukino kaore i whakamotuhēhēhia ki te mahi i te waehere mamao i te taumata firmware i runga i nga punaha e tuku ana i te PXE ki runga i te whatunga IPv9.
Ko nga raruraru iti ake ka puta ko te whakakore i te ratonga (whakapae whawhai), te turuturu korero, te paihana keteroki DNS, me te kaaina TCP. Ko te nuinga o nga whakaraeraetanga ka taea te whakamahi mai i te whatunga o te rohe, engari ka taea hoki te whakaekea etahi whakaraerae mai i te whatunga o waho. Ko te ahuatanga whakaeke angamaheni ka heke ki te aro turuki i nga waka i runga i te kupenga aa-rohe me te tuku i nga paatete i hangaia motuhake ina kitea nga mahi e pa ana ki te whakaoho i te punaha ma te PXE. Kaore e hiahiatia te uru ki te tūmau tango, ki te DHCP ranei. Hei whakaatu i te tikanga whakaeke, kua whakaputaina nga mahi tauira.
Ko te UEFI firmware i runga i te TianoCore EDK2 e whakamahia ana i roto i te maha o nga kamupene nui, nga kaiwhakarato kapua, nga pokapū raraunga me nga kohinga rorohiko. Ina koa, ko te waahanga whakaraerae NetworkPkg me te whakatinanatanga boot PXE ka whakamahia i roto i te firmware i whakawhanakehia e ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell me Microsoft (Project Mu ). Ko nga whakaraeraetanga i whakaponohia ano hoki ka pa ki te papaaapapa ChromeOS, kei a ia te kohinga EDK2 i roto i te rehitatanga, engari i kii a Google kaore tenei kete i whakamahia i roto i te miihini mo nga Chromebooks me te papaahi ChromeOS kaore e pa ki te raru.
Nga whakaraeraetanga kua tautuhia:
- CVE-2023-45230 - He putunga putunga i roto i te waehere kiritaki DHCPv6, i whakamahia ma te roa rawa te tuku ID tūmau (Kōwhiringa ID Tūmau).
- CVE-2023-45234 - Ka puta te puhake parepare i te wa e tukatuka ana i tetahi whiringa me nga tawhā tūmau DNS i tukuna i roto i te karere e whakaatu ana i te aroaro o te tūmau DHCPv6.
- CVE-2023-45235 - Puawai puhera i te wa e tukatuka ana i te kōwhiringa ID Tūmau i roto i nga karere panui takawaenga DHCPv6.
- Ko te CVE-2023-45229 he rerenga tauoti ka puta i te wa e tukatuka ana i nga whiringa IA_NA/IA_TA i roto i nga karere DHCPv6 e panui ana i tetahi tūmau DHCP.
- CVE-2023-45231 Ka puta te turuturu raraunga-waho i te wa e tukatuka ana i nga karere ND Redirect (Neighbor Discovery) me nga uara whiringa kua tapahia.
- CVE-2023-45232 Ka puta he koropiko mutunga kore i te wa e wetewete ana i nga whiringa e kore e mohiotia i roto i te pane Kōwhiringa Ūnga.
- CVE-2023-45233 Ka puta he koropiko mutunga kore ka poroporoaki i te kōwhiringa PadN i te pane pane.
- CVE-2023-45236 - Te whakamahi i nga kakano raupapa TCP e matapaehia ana hei tuku i te hononga hononga TCP.
- CVE-2023-45237 – Te whakamahi i te kaihanga tau pseudo-tupurangi kore pono e whakaputa uara matapae.
I tukuna nga whakaraeraetanga ki te CERT/CC i te 3 o Akuhata 2023, a ko te ra whakaatu mo te 2 o Noema. Heoi, na te hiahia mo te tuku papaki ruruku puta noa i nga kaihoko maha, ko te ra tuku i te tuatahi ka hoki ki te Hakihea 1, ka hoki ki te Hakihea 12th me Hakihea 19th, 2023, engari i te mutunga ka whakaatuhia i te Hanuere 16th, 2024. I taua wa ano, ka tono a Microsoft kia hikitia te whakaputanga o nga korero mo Mei.
Source: opennet.ru