4月1日最新报道,科技媒体bleepingcomputer昨日(3月31日)发布博文称,微软公司借助其安全AI工具Security Copilot,在开源引导程序领域取得重要发现。研究人员在GRUB2、U-Boot和Barebox三大关键系统中,共识别出20个此前未被披露的安全漏洞。
其中,GRUB2作为Ubuntu等Linux发行版的默认启动加载器,此次曝出了11个安全缺陷。这些漏洞包括文件系统解析器中的整数溢出问题、缓冲区溢出风险,以及加密比较函数面临的侧信道攻击威胁。
U-Boot和Barebox主要用于嵌入式设备领域,微软团队在这两套系统中发现9个新的安全漏洞。这些漏洞主要集中在SquashFS等文件系统的解析过程中存在缓冲区溢出问题,但值得注意的是,这类漏洞需要攻击者对目标设备进行物理接触才能利用。
微软安全团队发出警告称,这些漏洞可能被恶意利用来绕过UEFI安全启动机制。更令人担忧的是,攻击者可能通过这些漏洞突破BitLocker等系统级加密保护,植入隐蔽的引导程序(bootkit)。一旦成功,攻击者将完全控制设备,并能够操纵整个启动流程和操作系统运行。这种类型的恶意软件还具有顽固性,通常难以通过简单的系统重装或硬盘更换来彻底清除。
在具体漏洞方面,CVE-2025-0678(Squash4文件读取中的整数溢出问题)被特别标记为高风险级别(CVSS评分为7.8),其余均为中等风险等级。微软强调,Security Copilot不仅能够快速定位这些潜在的安全隐患,还为修复这些问题提供了具体建议,显著提升了相关开源项目的补丁发布效率。目前,涉及的GRUB2、U-Boot和Barebox项目已于2025年2月发布了相应的安全更新版本,建议所有用户尽快完成系统升级以保护设备安全。
相关文章
