www.svethardware.cz
>
>
>
>

Chyba Boothole ohrožuje miliardy zařízení se Secure Boot

Chyba Boothole ohrožuje miliardy zařízení se Secure Boot
, , aktualita
Na veřejnost se dostaly informace o nové chybě zvané BootHole, která má ohrožovat rovnou celé miliardy zařízení využívajících UEFI Secure Boot. To tak představuje servery, desktopy, notebooky i specializovaná zařízení založená na stejném hardwaru.
K oblíbeným
reklama
Právě UEFI Secure Boot má za úkol postarat se o zabezpečení počítače zrovna v době, kdy systém bootuje (zamezuje zavádění neověřených ovladačů bez digitálního podpisu), takže případná chyba v tomto systému může být velice nebezpečná a hlavně dalekosáhlá, neboť se netýká jen vybraného operačního systému, ale všemožných verzí Windows, Linuxu či potažmo jiných. V rámci FreeBSD se o podpoře Secure Boot přinejmenším uvažovalo. 
 
S tímto ohlášením přichází koordinovaně více firem najednou a my se od nich dozvídáme, že Secure Boot lze napadnout a využít k získání neomezeného přístupu k operačnímu systému, který pak útočník může zcela ovládat. Dobrá zpráva je jen ta, že daný útočník potřebuje k napadení Secure Bootu vyšší práva k systému, ovšem na druhou stranu není třeba k němu mít fyzický přístup, stačí vzdálený. Čili aby mohl být systém pomocí Secure Bootu napaden, musí tomu předcházet jiný úspěšný útok. 
 
Proč by se tak někdo snažil dále jiným způsobem napadnout již jednou ovládnutý systém? Především proto, že pomocí Secure Bootu může získat přístup, který bude velice těžko detekovatelný, neboť OS bude navenek fungovat zcela normálně, zatímco škodlivý kód bude sídlit v samotném bootloaderu. V takovém případě tak nepomůže ani přeinstalování operačního systému. I proto dostal BootHole s označením CVE-2020-10713 rating CVVS 8,2 s tím, že útočník prostřednictvím něj může téměř zcela ovládnout cílový systém. 
 
Zavádění operačního systému má na starosti GRUB2 (Grand Unified Bootloader), který pak předá štafetu samotnému OS. BootHole přitom napadá právě textový konfigurační soubor GRUB2 a využívá chybu tkvící v přetečení bufferu, která umožní spuštění podvrženého kódu přímo samotným bootloaderem a jeho nahrazení napadenou verzí. 
 
 
O nebezpečí ze strany BootHole přitom společně informují firmy Microsoft, Oracle, Red Hat, Canonical (Ubuntu), SuSE, Debian, Citrix, VMware a jiné, které chystají příslušné záplaty pro své systémy, což bude pochopitelně nějakou dobu trvat a nelze dopředu říci, kdy se který systém své záplaty dočká. Dle Tom's Hardware přitom nepůjde o jednoduché záplatování a může trvat i roky, než bude hotovo.  


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Meta hledá cesta, jak přinést NFT do Instagramu i Facebooku Meta hledá cesta, jak přinést NFT do Instagramu i Facebooku
Společnost Meta je další, která plánuje integraci NFT do svých platforem. Nemělo by ale jít jen o zobrazování profilových obrázků, ale také o systém pro vytváření a prodej NFT, tedy celé tržiště s nimi.
Dnes, aktualita, Milan Šurkala1 komentář
Twitter zavádí podporu NFT, mohou se stát profilovými obrázky Twitter zavádí podporu NFT, mohou se stát profilovými obrázky
Snad každým dnem se objeví firma, která ohlásí zavedení podpory NFT. Nyní je to Twitter, který umožní připojit nakoupená NFT a zobrazit je jako profilové obrázky. Na síti mají být NFT jasně vidět.
Dnes, aktualita, Milan Šurkala
Instagram Subscriptions: tvůrci mohou zavádět předplatné Instagram Subscriptions: tvůrci mohou zavádět předplatné
Sociální síť Instagram společnosti Meta zavádí možnost předplatného. V podstatě tak reaguje na server OnlyFans nebo Patreon. Tvůrci obsahu si tak mohou pro své sledující připravit předplatné pro exkluzivní obsah.
Včera, aktualita, Milan Šurkala
Autonomní loď Soleil dokončila svou první samostatnou plavbu Autonomní loď Soleil dokončila svou první samostatnou plavbu
Všeobecná autonomní doprava je sice stále hudbou vzdálené budoucnosti, přesto se už objevují první úspěšné projekty, které umožňují samostatný pohyb v reálném prostředí. V Japonsku takto nyní pluje trajekt Soleil.
Včera, aktualita, Milan Šurkala
První filmové studio ve vesmíru? Modul se má připojit k ISS v roce 2024 První filmové studio ve vesmíru? Modul se má připojit k ISS v roce 2024
Po oběžné dráze Země už za pár let může obíhat první skutečně kosmické filmové studio. Za projektem stojí společnost Space Entertainment Enterprise, která plánuje, že by se modul s filmovým studiem mohl k ISS připojit v roce 2024.
21.1.2022, aktualita, Kateřina Hoferková3 komentáře