Semmi furcsa, nulla dráma ... De felfedeztek egy másikat biztonsági rés, CVE-2020-10713, amely a GRUB2 rendszerindítót és a Biztonságos rendszerindítást érinti. Az Eclypsium kutatócsoport kiadványa áll e megállapítás mögött és BootHole-nak nevezték el. Még a Microsoft is közzétett egy bejegyzést a biztonsági portálján, figyelmeztetve rá, és azt állítja, hogy jelenleg bonyolult megoldás létezik.
BootHole Ez egy puffertúlcsordulási sebezhetőség, amely több milliárd eszközt érint a GRUB2-vel, sőt a GRUB2 nélküli másokat is, amelyek a Biztonságos rendszerindítást használják, mint például a Windows. A CVSS besorolásban a 8.2-ből 10-re értékelték, ami azt jelenti, hogy nagy a kockázata. És az, hogy a támadó kihasználhatja ezt annak érdekében, hogy tetszőleges kódot (beleértve a rosszindulatú programokat is) futtathasson a rendszerindítási folyamat során, még akkor is, ha a Secure Boot engedélyezve van.
így készülékek a hálózat, a szerverek, a munkaállomások, az asztali és laptopok, valamint más eszközök, például az SBC-k, egyes mobileszközök, IoT-eszközök stb.
Továbbá az Eclypsium szerint az lesz bonyolult enyhíteni és időbe telik a megoldás megtalálása. Alapos felülvizsgálatra lesz szükség a rendszerbetöltőkről, és a gyártóknak kiadniuk kell az UEFI CA által aláírt új verziókat. A BootHole lebontásához összehangolt erőfeszítésekre lesz szükség a Microsoft nyílt forráskódú fejlesztői és az együttműködő közösség fejlesztői, valamint más érintett rendszertulajdonosok között.
Valójában a teendők listája kijavítani a BootHole-t a GRUB2-ben, és szükséged van:
- Javítás a GRUB2 frissítéséhez és a biztonsági rés kiküszöböléséhez.
- Hogy a Linux disztribúciók fejlesztői és más gyártók kiadják a frissítéseket a felhasználók számára. Mind a GRUB2 szintjén, mind a telepítők és a alátétek.
- Az új alátéteket a Microsoft UEFI CA-nak kell aláírnia harmadik felek számára.
- Az operációs rendszerek rendszergazdáinak nyilvánvalóan frissíteniük kell. De tartalmaznia kell mind a telepített rendszert, a telepítő képeit, mind az általuk létrehozott helyreállító vagy indítható adathordozókat.
- Az UEFI visszavonási listát (dbx) szintén frissíteni kell minden érintett rendszer firmware-jében, hogy megakadályozzák a kód futtatását a rendszerindítás során.
A legrosszabb, hogy amikor a firmware-ről van szó, körültekintőnek kell lennie, és vigyáznia kell, nehogy problémákat okozzon, és hogy a számítógépek maradjanak tégla módban.
Jelenleg olyan vállalatok, mint a Red Hat, a HP, a Debian, a SUSE, a Canonical, az Oracle, a Microsoft, a VMWare, a Citrix, az UEFI Security Response Team és az OEM gyártók, valamint a szoftverszolgáltatók, már dolgoznak a megoldásán. Az első javítások megtekintésére azonban várni kell.
UPDATE
De a fejlesztők és a közösség hatékonyságának alábecsülése hülyeség lenne. Már több patch-jelölt van enyhítésére, amelyek olyan vállalatoktól származnak, mint a Red Hat, a Canonical stb. Kiemelt prioritásként jelölték meg ezt a kérdést, és ez megtérül.
A probléma? A probléma az, hogy ezek a javítások további problémákat okoznak. Arra emlékeztet, hogy mi történt a Metldown és a Spectre tapaszokkal, hogy néha a gyógyszer rosszabb, mint a betegség ...