Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: PixieFail UEFI Kusurları Milyonlarca Bilgisayarı RCE, DoS ve Veri Hırsızlığına Maruz Bırakıyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » PixieFail UEFI Kusurları Milyonlarca Bilgisayarı RCE, DoS ve Veri Hırsızlığına Maruz Bırakıyor

GenelSiber Güvenlik

PixieFail UEFI Kusurları Milyonlarca Bilgisayarı RCE, DoS ve Veri Hırsızlığına Maruz Bırakıyor

teknomers
Son güncelleme: 18 Ocak 2024 14:33
teknomers
Paylaş
Paylaş


18 Ocak 2024Haber odasıÜrün Yazılımı Güvenliği / Güvenlik Açığı

Birleşik Genişletilebilir Ürün Yazılımı Arayüzünün açık kaynaklı bir referans uygulamasının TCP/IP ağ protokol yığınında birden fazla güvenlik açığı ortaya çıktı (UEFI) modern bilgisayarlarda yaygın olarak kullanılan spesifikasyon.

Toplu olarak dublajlı PixieFail Quarkslab tarafından dokuz konu TianoCore EFI Geliştirme Kiti II’de (EDK II) bulunur ve uzaktan kod yürütme, hizmet reddi (DoS), DNS önbellek zehirlenmesi ve hassas bilgilerin sızması için kullanılabilir.

UEFI ürün yazılımı – şunlardan sorumludur: işletim sistemini önyükleme – AMI, Intel, Insyde ve Phoenix Technologies’den gelenler eksikliklerden etkileniyor.

EDK II, kendi TCP/IP yığınını içerir. AğPkg İlk Önyükleme Öncesi Yürütme Ortamı sırasında kullanılabilen ağ işlevlerini etkinleştirmek için (PXE“pixie” olarak telaffuz edilir) aşaması, çalışan bir işletim sisteminin yokluğunda yönetim görevlerine olanak tanır.

Başka bir deyişle istemci-sunucu arayüzüdür. bir cihazı önyükleme ağ arayüz kartından (NIC) alınır ve henüz bir işletim sistemi yüklenmemiş ağ bağlantılı bilgisayarların bir yönetici tarafından uzaktan yapılandırılmasına ve başlatılmasına olanak tanır.

PXE kodu, anakarttaki UEFI ürün yazılımının bir parçası olarak veya NIC ürün yazılımı salt okunur belleğinde (ROM) bulunur.

PixieFail UEFI Kusurları

Quarkslab tarafından belirlenen sorunlar EDKII’nin NetworkPkg’si taşma hatalarını, sınır dışı okumaları, sonsuz döngüleri ve DNS ve DHCP zehirlenmesi saldırılarına, bilgi sızıntısına, hizmet reddine ve veri ekleme saldırılarına neden olan zayıf sözde rastgele sayı üretecinin (PRNG) kullanımını kapsar. IPv4 ve IPv6 katmanı.

Kusurların listesi aşağıdaki gibidir:

  • CVE-2023-45229 (CVSS puanı: 6,5) – Bir DHCPv6 Reklam mesajındaki IA_NA/IA_TA seçenekleri işlenirken tam sayı taşması
  • CVE-2023-45230 (CVSS puanı: 8,3) – Uzun Sunucu Kimliği seçeneği aracılığıyla DHCPv6 istemcisinde arabellek taşması
  • CVE-2023-45231 (CVSS puanı: 6,5) – Kesilmiş seçeneklere sahip bir ND Yönlendirme mesajı işlenirken sınırların dışında okuma
  • CVE-2023-45232 (CVSS puanı: 7,5) – Hedef Seçenekleri başlığındaki bilinmeyen seçenekleri ayrıştırırken sonsuz döngü
  • CVE-2023-45233 (CVSS puanı: 7,5) – Hedef Seçenekleri başlığındaki PadN seçeneğini ayrıştırırken sonsuz döngü
  • CVE-2023-45234 (CVSS puanı: 8,3) – DHCPv6 Reklam mesajındaki DNS Sunucuları seçeneği işlenirken arabellek taşması
  • CVE-2023-45235 (CVSS puanı: 8,3) – DHCPv6 proxy Reklam mesajından Sunucu Kimliği seçeneğini işlerken arabellek taşması
  • CVE-2023-45236 (CVSS puanı: 5,8) – Tahmin Edilebilir TCP Başlangıç ​​Sıra Numaraları
  • CVE-2023-45237 (CVSS puanı: 5.3) – Zayıf bir sözde rastgele sayı üretecinin kullanılması

CERT Koordinasyon Merkezi (CERT/CC) “Bu güvenlik açıklarının etkisi ve kullanılabilirliği, belirli ürün yazılımı yapısına ve varsayılan PXE önyükleme yapılandırmasına bağlıdır.” söz konusu bir danışma belgesinde.

“Yerel ağdaki (ve belirli senaryolarda uzaktan) bir saldırgan, uzaktan kod yürütmek, DoS saldırıları başlatmak, DNS önbellek zehirlenmesi gerçekleştirmek veya hassas bilgileri çıkarmak için bu zayıflıklardan yararlanabilir.”



siber-2

Intel, kendiniz deneyebilmeniz için kuantum bilgi işlem SDK’sını piyasaya sürdü
Warzone meta, Call of Duty hayranları en iyi silahta uyurken büyük sırrı saklıyor
Bu bir iPhone 15 Pro mu? İlk yüksek kaliteli görüntüler, akıllı telefonun olası tasarımını gösteriyor
UNIQLO, JUJUTSU KAISEN 0 UT İşbirliği Koleksiyonunu Yayınlayacak – The Outerhaven
Rebel Wilson’ın kilo kaybını değil sağlığını kutlamalıyız
ETİKETLENDİ:ağ güvenliğibilgi Güvenliğibilgisayar GüvenliğibilgisayarıBırakıyorDoSfidye yazılımı kötü amaçlı yazılımhack haberlerihacker haberleriHırsızlığınakusurlarımaruzMilyonlarcaNasıl heklenirPixieFailRCEsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarUEFIVeriveri ihlaliyazılım güvenlik açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Geliştiricilerin ‘güncelleme kalite standartlarımızı karşılamıyor’ dediği için Call of Duty: Warzone’un nükleer görevi geçici olarak kaldırıldı
Sonraki Makale RTX 4070 Super’in lansman günü satışlarının bir ‘felaket’ olduğu söyleniyor – Nvidia’nın yeni GPU’sunda neler oluyor?

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Google Home Hoparlörü Bize Neler Sunuyor? Gemini Gelişiyor mu?
Liste
Claude, Hacker’a ABD Müzik Festivallerinden Bilet Alma Yolu Gösterdi!
Genel
AçıkCTI’de Suçlu IP ile Göstergeleri Kritik İstihbarata Dönüştürme
Siber Güvenlik
Mario Kart Dünyasında Yeniliklerle Dolu Bir Güncelleme Heyecanı
Oyun
Venice AI’nin 65M$ Seri A Yatırımıyla Unicorn Olması Teknolojide Yeni Bir Dönüm Noktası
Genel
Disrupt 2026’da Builders Stage gündemi açıklandı
Yapay Zeka
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?