Binarly හි පර්යේෂකයන් විසින් විවිධ නිෂ්පාදකයින්ගෙන් UEFI ස්ථිරාංගවල භාවිතා කරන රූප විග්රහ කිරීමේ කේතයේ දුර්වලතා මාලාවක් හඳුනාගෙන ඇත. ESP (EFI පද්ධති කොටස) කොටසේ හෝ ඩිජිටල් ලෙස අත්සන් කර නොමැති ස්ථිරාංග යාවත්කාලීන කොටසක විශේෂයෙන් නිර්මාණය කරන ලද රූපයක් තැබීමෙන් ආරම්භයේදී කේත ක්රියාත්මක කිරීම ලබා ගැනීමට දුර්වලතා ඉඩ දෙයි. යෝජිත ප්රහාරක ක්රමය UEFI Secure Boot සත්යාපිත ඇරඹුම් යාන්ත්රණය සහ Intel Boot Guard, AMD Hardware-Validated Boot සහ ARM TrustZone Secure Boot වැනි දෘඪාංග ආරක්ෂණ යාන්ත්රණය මඟ හැරීමට භාවිතා කළ හැක.
ෆර්ම්වෙයාර් මඟින් ඔබට පරිශීලක-නිශ්චිත ලාංඡන ප්රදර්ශනය කිරීමට ඉඩ ලබා දීම සහ මේ සඳහා රූප විග්රහ කිරීමේ පුස්තකාල භාවිතා කිරීම, වරප්රසාද යළි පිහිටුවීමකින් තොරව ස්ථිරාංග මට්ටමින් ක්රියාත්මක කිරීම ගැටළුවට හේතු වේ. නවීන ස්ථිරාංගවල BMP, GIF, JPEG, PCX සහ TGA ආකෘති විග්රහ කිරීම සඳහා කේතය ඇතුළත් වන අතර, වැරදි දත්ත විග්රහ කිරීමේදී බෆරය පිටාර ගැලීමට තුඩු දෙන දුර්වලතා අඩංගු වේ.
විවිධ දෘඩාංග සැපයුම්කරුවන් (Intel, Acer, Lenovo) සහ ස්ථිරාංග නිෂ්පාදකයින් (AMI, Insyde, Phoenix) විසින් සපයනු ලබන ස්ථිරාංග වල දුර්වලතා හඳුනාගෙන ඇත. ස්වාධීන ස්ථිරාංග වෙළෙන්දන් විසින් සපයනු ලබන විමර්ශන සංරචකවල ගැටළු කේතය පවතින නිසා සහ විවිධ දෘඩාංග නිෂ්පාදකයින්ට ඔවුන්ගේ ස්ථිරාංග ගොඩ නැගීම සඳහා පදනම ලෙස භාවිතා කරන බැවින්, දුර්වලතා විකුණුම්කරුවන්ට විශේෂිත නොවන අතර සමස්ත පරිසර පද්ධතියටම බලපායි.
හඳුනාගෙන ඇති දුර්වලතා පිළිබඳ විස්තර දෙසැම්බර් 6 වන දින Black Hat Europe 2023 සමුළුවේදී හෙළිදරව් කිරීමට පොරොන්දු වේ. සමුළුවේ ඉදිරිපත් කිරීම මඟින් x86 සහ ARM ගෘහ නිර්මාණ ශිල්පය සහිත පද්ධතිවල ස්ථිරාංග හිමිකම් සමඟ ඔබේ කේතය ක්රියාත්මක කිරීමට ඉඩ සලසන සූරාකෑමක් ද පෙන්නුම් කෙරේ. මුලදී, Insyde, AMI සහ Phoenix වෙතින් වේදිකා මත ගොඩනගා ඇති Lenovo ස්ථිරාංග විශ්ලේෂණය කිරීමේදී දුර්වලතා හඳුනාගෙන ඇත, නමුත් Intel සහ Acer වෙතින් ස්ථිරාංග ද අවදානමට ලක්විය හැකි ලෙස සඳහන් කරන ලදී.
මූලාශ්රය: opennet.ru