محققان دو آسیبپذیری امنیتی وصلهنشده را در بوت لودر U-Boot کشف کردهاند.
نقصهایی که در الگوریتم یکپارچه سازی IP که توسط NCC Group در U-Boot پیادهسازی شده کشف شد است میتواند برای دستیابی به out-of-bounds write و حملات denial-of-service (DoS) مورد سوءاستفاده قرار گیرد.
U-Boot یک بوت لودر است که در سیستمهای مبتنی بر لینوکس مانند ChromeOS و همچنین کتابخوانهای الکترونیکی مانند Amazon Kindle و Kobo eReader استفاده میشود.
لیست نقصها به طور خلاصه در زیر آمده است:
انتظار میرود که این نقصها بزودی توسط توسعهدهندگان U-boot در یک Patch برطرف شود، به دنبال آن به کاربران توصیه میشود در اسرع وقت به آخرین نسخه موجود U-Boot بروز شوند.
نقصهایی که در الگوریتم یکپارچه سازی IP که توسط NCC Group در U-Boot پیادهسازی شده کشف شد است میتواند برای دستیابی به out-of-bounds write و حملات denial-of-service (DoS) مورد سوءاستفاده قرار گیرد.
U-Boot یک بوت لودر است که در سیستمهای مبتنی بر لینوکس مانند ChromeOS و همچنین کتابخوانهای الکترونیکی مانند Amazon Kindle و Kobo eReader استفاده میشود.
لیست نقصها به طور خلاصه در زیر آمده است:
- CVE-2022-30790 (امتیاز CVSS: 9.6) - Hole Descriptor overwrite در یکپارچه سازی بسته IP U-Boot که منجر به out-of-bounds write میشود.
- CVE-2022-30552 (امتیاز CVSS: 7.1) - Large buffer overflow که منجر به حالت DoS در کد یکپارچه سازی بسته IP U-Boot میشود.
انتظار میرود که این نقصها بزودی توسط توسعهدهندگان U-boot در یک Patch برطرف شود، به دنبال آن به کاربران توصیه میشود در اسرع وقت به آخرین نسخه موجود U-Boot بروز شوند.