https://www.networkworld.com/article/3649365/major-security-vulnerability-found-in-top-servers.html#tk.rss_security
セキュリティ会社のBinarlyは、Intel、Microsoft、Lenovo、Dell、Fujitsu、HP、HPE、Siemens、Bull Atosなど、さまざまなシステムベンダーのBIOS / UEFIソフトウェアに隠れている20を超える脆弱性を発見しました。
UEFI / BIOSベースの攻撃はファームウェアベースのセキュリティメカニズムをバイパスする可能性があるため、これらの脆弱性は特に危険です。
これらの脆弱性による潜在的な損害は、攻撃者がセキュアブート、仮想化ベースのセキュリティ(VBS)、トラステッドプラットフォームモジュール(TPM)などのハードウェアベースのセキュリティ機能をバイパスするために使用できるため、深刻です。
当初、Binarlyは23の新しい脆弱性を開示しましたが、その後、HPハードウェアに固有の5つの脆弱性を発見しました。
Insydeはすべての脆弱性にパッチを適用しましたが、ファームウェアはソフトウェアほど頻繁に更新されないため、ファームウェアのロールアウトは遅くなる傾向があります。
Binarlyは、脆弱性の開示のためにCERT / CCチームによって開発されたVINCEプラットフォームが実際の環境でテストされ、最初の開示からセキュリティ修正までの時間を5か月に大幅に短縮したと述べています。
トップサーバー、AndyPatrizioに見られる主要なセキュリティの脆弱性
security summary
コメント