IT之家 6 月 21 日音讯,Phoenix SecureCore UEFI 固件被曝安全舛误,影响数百款 CPU 设备,联思现在一经发布了新的固件更新开荒该舛误。
IT之家从报谈中获悉,该舛误跟踪编号为 CVE-2024-0762,被称为“UEFICANHAZBUFFEROVERFLOW”,存在于 Phoenix UEFI 固件中的真正平台模块(TPM)建立中,是一个缓冲区溢露马脚,可被愚弄在易受抨击的设备上执行任性代码。
该舛误由 Eclypsium 发现,他们在联思 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代设备上发现了该舛误,随后向 Phoenix 公司阐明,影响以下英特尔 CPU 的 SecureCore 固件:
Alder Lake
Coffee Lake
Comet Lake
Ice Lake
Jasper Lake
Kaby Lake
Meteor Lake
Raptor Lake
Rocket Lake
Tiger Lake
由于使用该固件的英特尔 CPU 数目繁密,该舛误有可能影响联思、戴尔、宏碁和的数百款机型。
Eclypsium 称,他们发现的舛误是 Phoenix SecureCore 固件的系统贬责形式(SMM)子系统中的缓冲区溢出,允许抨击者诡秘相邻内存。
要是内存被正确的数据诡秘,抨击者就有可能普及权限并得到固件中的代码执行智商,从而安设教学用具包坏心软件。
Phoenix 公司于 4 月发布警戒,联思于 5 月发布新固件,开荒了 150 多种不同机型的舛误问题,不外其它厂商现在莫得统统跟进开荒。