影响微软谷歌旗下产品，研究人员公布 UEFI 漏洞 PixieFAIL

IT之家 1 月 19 日消息，法国网络安全公司 Quarkslab 日前公布了一项名为 PixieFAIL 的 UEFI 漏洞，该漏洞允许黑客远程发动 DoS 攻击、执行任意代码、劫持网络会话。包括微软、ARM、谷歌等公司旗下产品均遭影响。

IT之家注意到，相关漏洞主要存在于英特尔 TianoCore EDK II 开发环境中，由 9 项子漏洞组成，具体列表如下：

• 整数溢出漏洞：CVE-2023-45229

• 缓冲区溢出漏洞：CVE-2023-45230、CVE-2023-45234、CVE-2023-45235

• 越界读取漏洞：CVE-2023-45231

• 循环漏洞：CVE-2023-45232、CVE-2023-45233

• TCP 序列号预测漏洞：CVE-2023-45236

• 弱伪随机数生成器漏洞：CVE-2023-45237

研究人员指出，当下许多企业计算机及服务器使用网络启动操作系统，为了提供相关功能，UEFI 需要在驱动执行环境（DXE）阶段实现了一个完整的 IP 堆栈，从而形成了相关漏洞，允许黑客在预启动执行环境（Preboot Execution Environment，PXE）入侵本地局域网计算机，进而进行恶意行为。

据悉，由于微软 Project Mu、谷歌 ChromeOS、Phoenix Technologies 的 SecureCore 等产品中均包含 TianoCore EDK II 部分代码，因此 PixieFAIL 漏洞也会影响相关软件。

实际上，Quarkslab 早在去年 8 月向法国计算机应急和协调中心（CERT-FR）报告了 PixieFAIL 漏洞，并提供了其中 7 个子漏洞的概念验证程序。该公司原计划于去年 11 月 2 日公开披露该漏洞，但收到了各厂商的推迟披露请求，并一再推迟，直到当下绝大多数厂商修复完成后，该安全公司才最终官宣披露相关漏洞。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。