Siber güvenlik araştırmacıları açıkladı iki yama uygulanmamış güvenlik açığı açık kaynaklı U-Boot önyükleme yükleyicisinde.
Raporda ortaya çıkan konular, IP birleştirme NCC Group tarafından U-Boot’ta uygulanan algoritma, keyfi sınır dışı yazma ve hizmet reddi (DoS) elde etmek için kötüye kullanılabilir.
U-Boot bir önyükleyici ChromeOS gibi Linux tabanlı gömülü sistemlerde ve Amazon Kindle ve Kobo eReader gibi e-kitap okuyucularda kullanılır.
Sorunlar aşağıda özetlenmiştir –
- CVE-2022-30790 (CVSS puanı: 9.6) – U-Boot IP paket birleştirmede Delik Tanımlayıcı üzerine yazma, keyfi bir sınır dışı yazma ilkeline yol açar.
- CVE-2022-30552 (CVSS puanı: 7.1) – Büyük arabellek taşması, U-Boot IP paket birleştirme kodunda DoS’a yol açar
Her iki kusurun da yalnızca yerel ağdan yararlanılabileceğini belirtmekte fayda var. Ancak bunu yapmak, bir saldırganın aygıtları köklendirmesini ve hatalı biçimlendirilmiş bir paket oluşturarak bir DoS’ye yol açmasını sağlayabilir.
Eksikliklerin, U-boot bakımcıları tarafından gelecek bir yamada ele alınması bekleniyor ve bunu takiben kullanıcılara güncelleme yapmaları tavsiye ediliyor. En son sürüm.