Nic zvláštního, nulová dramata ... Objevil se ale další zranitelnost, CVE-2020-10713, která ovlivňuje bootloader GRUB2 a Secure Boot. Za tímto nálezem stojí publikace výzkumného týmu Eclypsium, kterou pokřtili jako BootHole. Dokonce i Microsoft zveřejnil záznam na svém bezpečnostním portálu, který jej varoval a tvrdí, že v tuto chvíli existuje komplikované řešení.
Zaváděcí díra Jedná se o chybu zabezpečení týkající se přetečení vyrovnávací paměti, která ovlivňuje miliardy zařízení s GRUB2 a dokonce i dalších bez GRUB2, které používají Secure Boot, jako je Windows. V klasifikaci systému CVSS bylo hodnoceno 8.2 z 10, což znamená, že je vysoce rizikové. A to je to, že útočník by to mohl využít, aby mohl spustit libovolný kód (včetně malwaru) zavedený během procesu spouštění, i když je povoleno zabezpečené spuštění.
tak dispositivos síť, servery, pracovní stanice, stolní počítače a notebooky a další zařízení, jako jsou SBC, některá mobilní zařízení, zařízení IoT atd., by byla ovlivněna.
Kromě toho to podle Eclypsia bude komplikované zmírnění a nalezení řešení bude nějakou dobu trvat. Bude to vyžadovat důkladnou kontrolu bootloaderů a prodejci by měli vydat nové verze bootloaderů podepsané UEFI CA. Vyřazení BootHole bude vyžadovat koordinované úsilí mezi vývojáři v Microsoft open source a spolupracující komunitě a dalšími vlastníky ovlivněných systémů.
Ve skutečnosti udělali seznamu úkolů abyste mohli opravit BootHole v GRUB2 a potřebujete:
- Oprava pro aktualizaci GRUB2 a odstranění zranitelnosti.
- Že vývojáři distribucí Linuxu a další prodejci vydávají aktualizace pro své uživatele. Oba na úrovni GRUB2, instalátorů a podložek.
- Nové vložky musí být podepsány Microsoft UEFI CA pro třetí strany.
- Správci operačních systémů budou samozřejmě muset aktualizovat. Musí však zahrnovat jak nainstalovaný systém, obrazy instalačních programů, tak také obnovovací nebo zaváděcí média, která vytvořili.
- Seznam UEFI Revocation List (dbx) bude také nutné aktualizovat ve firmwaru každého ovlivněného systému, aby se zabránilo spuštění kódu během bootování.
Nejhorší je, že pokud jde o firmware, musíte být opatrní a dávat pozor, abyste neskončili s problémy a aby počítače zůstaly v cihlovém režimu.
V tuto chvíli společnosti jako Red Hat, HP, Debian, SUSE, Canonical, Oracle, Microsoft, VMWare, Citrix, UEFI Security Response Team a výrobci OEM, stejně jako poskytovatelé softwaru, již pracují na opravě. Na první opravy si však budeme muset počkat.
UPDATE
Ale podceňovat účinnost vývojářů a komunity by byla hloupost. Již existuje několik kandidátů na opravu zmírnit to pocházející od společností jako Red Hat, Canonical atd. Označili tento problém jako nejvyšší prioritu a vyplácí se to.
Problém? Problém je v tom, že tyto opravy způsobují další problémy. Připomíná mi to, co se stalo s náplastmi Metldown a Spectre, že lék je někdy horší než nemoc ...