Crucial’ın MX500 SSD’lerinde, hassas verileri ifşa edebilecek veri sızıntısına olanak tanıyan bir güvenlik açığı keşfedildi. TechPowerUp forumlarındaki kullanıcı keşfetti MX500’ün arabellek taşmasına karşı savunmasız olduğu ve bu nedenle veri sızıntısının meydana geldiği.
Bu güvenlik açığı tehlikelidir çünkü bir saldırgan, NIST’in açıkladığı gibi, ana bilgisayardan sürücü denetleyicisine özel olarak hazırlanmış ATA paketleri aracılığıyla arabellek taşmasını manuel olarak tetikleyebilir. Teknik terimlerle, arabellek taşması, bir program bir bellek arabelleğine arabelleğin fiziksel olarak tutabileceğinden daha fazla veri yazmaya çalıştığında oluşan bir yazılım hatasıdır. Bu tepki, programın bitişik bellek arabelleklerini üzerine yazmasına, var olan verileri silmesine ve yeni verilerle değiştirmesine neden olur.
Fortinet’in açıkladığı gibi, bitişik bellek tamponuna eklenen ekstra veriler, saldırganın bilerek oraya koyduğu kötü amaçlı kodu barındırabilir. Arabellek taşması istismarları, saldırganın saldırdığı makine ve/veya program üzerinde tam kontrol elde etmesini sağlayabilir.
Güvenlik açığı CVE-2024-42642 olarak kaydedildi. Crucial henüz MX500 SSD’lerindeki bu güvenlik açığını resmi olarak duyurmadı ve hangi aygıt yazılımı varyantlarının etkilendiğini kimse bilmiyor. Varsayabileceğimiz en iyi durum Crucial’ın kapalı kapılar ardında bir aygıt yazılımı güncellemesi üzerinde çalışıyor olması ve tamamlandığında duyuracak olmasıdır.
Crucial MX500 serisi, 2018’de piyasaya sürülen eski bir SSD serisidir. Seri şu anda 250 GB, 500 GB, 1 TB, 2 TB ve 4 TB modellerinden oluşmaktadır. 1 TB modeli 86$ gibi düşük bir fiyata, 4 TB modeli ise 269,99$ gibi düşük bir fiyata satın alınabilir. MX500 serisi, maksimum 560MB/sn sıralı okuma hızına sahip tamamen SATA-III 2,5 inç form faktörlü modellerden oluşur.