Otomatik ikili analiz sistemi Eclypsium Automata’yı kullanarak, Eklipsyum 14. Nesilden 6. Nesle kadar çok çeşitli anakart sağlayıcıları ve Intel CPU’lar (diğer bir deyişle tüm “Göller”) tarafından kullanılan Phoenix SecureCore UEFI ürün yazılımında yüksek etkili güvenlik açıklarının varlığını ortaya çıkardı. Bu güvenlik açığı aynı zamanda aşağıdakiler de dahil olmak üzere diğer birçok UEFI BIOS satıcısını da kapsamaktadır: Lenovo, Intel, Insyde ve AMI. Phoenix listeye katılan son isim.
Bu gönderiye neden olan spesifik Phoenix SecureCore UEFI ürün yazılımı güvenlik açığı, Eclypsium tarafından “UEFIcanhazbufferoverflow” olarak adlandırılıyor ve bu, bunun bir arabellek taşması istismarı olduğunu belirtmenin komik bir yolu. “UEFIcanhazbufferoverflow” istismarının çalıştığı özel yöntem, “GetVariable” UEFI hizmetine güvenli olmayan bir çağrı kullanmaktır.
Güvenli olmayan aramalar yapılarak, rastgele kod çalıştırılmasına izin veren bir yığın arabellek taşması oluşturulabilir. BIOS’ta veya onun modern muadili olan UEFI’de, arabellek taşması bile tam sisteme erişim ve kontrolün çok hızlı bir şekilde elde edilmesine olanak tanır ve bunun sonuçlarının bilgisayardan kalıcı olarak kaldırılması zor olabilir. Bazen, makineyi tamamen değiştirmeden bunu yapmak imkansız bile olabilir; bu, parolaları ve ele geçirilebilecek ve yine de makineler arasında değiştirilmesi gereken parolaları saymaz.
Etkilenme potansiyeli olan herhangi bir Intel kullanıcısı, bir şeyler ters giderse diye önemli dosyaların ve orijinal BIOS’un yedeklerini oluşturmadan önce bu sorundan korunmak için BIOS’unu mümkün olan en kısa sürede güncellemelidir. UEFI’yi etkileyen açıklardan yararlanmalar PC donanımında mümkün olduğu kadar Katman 0’a yakın olduğundan, ilgili tüm tarafların mümkün olduğunca hızlı ve güvenli bir şekilde harekete geçmesi çok önemlidir.
Eclypsium’un belirttiği gibi Phoenix’teki bu güvenlik açığı, Eclypsium’un kendi araştırmacılarının araştırma verilerini kullanan otomatik bir ikili analiz sistemi olan Automata güvenlik sistemi tarafından müdahalesiz bir şekilde keşfedildi. Yapay zeka tarafından yazılan kodlar ve yapay zekanın “oluşturduğu” sanat eserleriyle ilgili kesinlikle sorunlar olsa da, son teknoloji yapay zeka ve makine öğrenimi teknolojisinin insanlık için yararlı bir şeye doğru kullanıldığını görmek her zaman güzeldir.
