Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Shim’deki Kritik Bootloader Güvenlik Açığı Neredeyse Tüm Linux Dağıtımlarını Etkiliyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Shim’deki Kritik Bootloader Güvenlik Açığı Neredeyse Tüm Linux Dağıtımlarını Etkiliyor

GenelSiber Güvenlik

Shim’deki Kritik Bootloader Güvenlik Açığı Neredeyse Tüm Linux Dağıtımlarını Etkiliyor

teknomers
Son güncelleme: 8 Şubat 2024 00:07
teknomers
Paylaş
Paylaş


07 Şubat 2024Haber odasıCihaz Güvenliği / Güvenlik Açığı

Şim’in bakımcıları serbest bırakıldı sürüm 15.8 Belirli koşullar altında uzaktan kod yürütülmesine yol açabilecek kritik bir hata da dahil olmak üzere altı güvenlik açığını gidermek.

Şu şekilde izlendi: CVE-2023-40547 (CVSS puanı: 9,8), Güvenli Önyüklemeyi aşmak için güvenlik açığından yararlanılabilir. Microsoft Güvenlik Yanıt Merkezi’nden (MSRC) Bill Demirkapi kredilendirildi hatayı keşfederek ve bildirerek.

Oracle’dan Alan Coopersmith, “Shim’in http önyükleme desteği (httpboot.c), bir HTTP yanıtını ayrıştırırken saldırganın kontrol ettiği değerlere güvenerek tamamen kontrollü bir sınır dışı yazma ilkeline yol açar.” kayıt edilmiş Açık Kaynak Güvenliği posta listesinde oss-security’de paylaşılan bir mesajda.

Demirkapı, postalamak Geçen ayın sonlarında X’te (eski adıyla Twitter) paylaşılan bir raporda, güvenlik açığının “son on yılda imzalanan her Linux önyükleme yükleyicisinde mevcut olduğu” belirtildi.

Şim “önemsiz” anlamına gelir yazılım paketi bu tasarlanmış Birleşik Genişletilebilir Ürün Yazılımı Arayüzünde birinci aşama önyükleme yükleyicisi olarak çalışmak için (UEFI) sistemler.

Firmware güvenlik firması Eclypsium söz konusu CVE-2023-40547 “HTTP protokolünün işlenmesinden kaynaklanıyor ve sistemin tamamen tehlikeye girmesine yol açabilecek sınırların dışında yazmaya yol açıyor.”

Varsayımsal bir saldırı senaryosunda, aynı ağdaki bir tehdit aktörü, güvenlik açığı bulunan bir ön yükleme yükleyicisini yüklemek için kusurdan yararlanabilir veya yeterli ayrıcalıklara sahip yerel bir düşman tarafından EFI bölümündeki verileri manipüle edebilir.

Şirket, “Bir saldırgan, bir MiTM (Ortadaki Adam) saldırısı gerçekleştirebilir ve kurban ile HTTP önyüklemesini desteklemek için dosyaları sunmak için kullanılan HTTP sunucusu arasındaki HTTP trafiğini engelleyebilir” diye ekledi. “Saldırgan, kurban ile meşru sunucu arasındaki herhangi bir ağ bölümünde bulunabilir.”

Bununla birlikte, ana işletim sistemi başlamadan önce gerçekleşen önyükleme işlemi sırasında kod yürütme yeteneğinin elde edilmesi, saldırgana, tehlikeye atılan ana bilgisayar üzerinde neredeyse tam kontrol sağlayabilecek gizli önyükleme kitlerini dağıtmak için sınırsız erişim sağlar.

Shim sürüm 15.8’de düzeltilen diğer beş güvenlik açığı aşağıdadır:

  • CVE-2023-40546 (CVSS puanı: 5,3) – Hata mesajları yazdırılırken sınırların dışında okuma, hizmet reddi (DoS) durumuna neden olur
  • CVE-2023-40548 (CVSS puanı: 7,4) – 32 bit işlemciler için derlendiğinde, önyükleme aşamasında çökmeye veya veri bütünlüğü sorunlarına yol açabilecek dolguda arabellek taşması
  • CVE-2023-40549 (CVSS puanı: 5,5) – Kimlik doğrulama işlevinde, bir saldırganın hatalı biçimlendirilmiş bir ikili dosya sağlayarak bir DoS tetiklemesine izin verebilecek sınır dışı okuma
  • CVE-2023-40550 (CVSS puanı: 5,5) – Güvenli Önyükleme Gelişmiş Hedefleme doğrulanırken sınırların dışında okuma (SBAT) bilginin ifşa edilmesine yol açabilecek bilgiler
  • CVE-2023-40551 (CVSS puanı: 7,1) – MZ ikili dosyaları ayrıştırılırken sınırların dışında okuma, çökmeye veya hassas verilerin olası açığa çıkmasına neden olur

Eclypsium, “Bu güvenlik açığından yararlanan bir saldırgan, çekirdek yüklenmeden önce sistemin kontrolünü ele geçirir; bu da ayrıcalıklı erişime sahip oldukları ve çekirdek ve işletim sistemi tarafından uygulanan tüm kontrolleri atlatabilme becerisine sahip oldukları anlamına gelir.” dedi.





siber-2

Maksimum öğrenci indirimi — HBO yayın hizmetine yarı fiyatına abone olmanın yolu
Platform ücretlendirmeye başlayacağı için Twitter API artık ücretsiz değil, bu da geliştiricileri kızdırıyor
NASA’nın Marsquake Hunting InSight Lander için Azalan Güç Seviyeleri
En yeni “Japon Rolls-Royce Cullinan” Rusya’da şimdiden sipariş edilebilir: lüks dört tekerlekten çekişli SUV Toyota Century 2025 ruble cinsinden fiyatlandırılır
Bloober Ekibi Rusya ve Beyaz Rusya’da Oyun Satışlarını Engelledi
ETİKETLENDİ:Açığıağ güvenliğibilgi Güvenliğibilgisayar GüvenliğiBootloaderdağıtımlarınıEtkiliyorfidye yazılımı kötü amaçlı yazılımgüvenlikhack haberlerihacker haberleriKritikLinuxNasıl heklenirneredeyseShimdekisiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarTümveri ihlaliyazılım güvenlik açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Çin destekli Volt Typhoon korsanları ‘en az beş yıldır’ ABD’nin kritik altyapısında gizleniyor
Sonraki Makale Minecraft’ın Son Güncellemesi Oyunculara Rüzgarın Gücünü Veriyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Gelecek Nesil Konsol Gecikmesi Witcher 3 İçin Avantaj Olabilir
Oyun
Ukrayna, 12 saatlik uçuşla 2,500 km’lik rekor drone saldırısı düzenledi
Donanım
OpenAI Çalışanları, Patronlarına Karşı Rakip Süper PAC Finanse Ediyor!
Genel
Kritik Uyarı: Bazı Dell PC’ler Windows Güncellemeleriyle Kapanıyor!
Siber Güvenlik
Acil: ABD, Rusya’nın Güvenli Hosting Operatörlerine İhtiyaç Duyuyor!
Siber Güvenlik
Laravel (Blade/Livewire/React) için bir GDPR çerez onay paketi oluşturuldu — geri bildirim bekleniyor
Yazılım
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?