Walang kakaiba, zero drama ... Ngunit isa pa ang natuklasan kahinaan, CVE-2020-10713, na nakakaapekto sa GRUB2 bootloader at Secure Boot. Ang isang publication ng koponan ng pagsasaliksik ng Eclypsium ay ang nasa likod ng paghahanap na ito at kung saan pinangalanan nilang BootHole. Kahit na ang Microsoft ay naglathala ng isang entry sa security portal nito na nagbabala dito at inaangkin na mayroong isang kumplikadong solusyon sa ngayon.
Boothole Ito ay isang buffer overflow na kahinaan na nakakaapekto sa bilyun-bilyong mga aparato na may GRUB2 at kahit na ang iba na walang GRUB2 na gumagamit ng Secure Boot tulad ng Windows. Sa pag-uuri ng system ng CVSS ito ay naitala bilang 8.2 sa 10, na nangangahulugang ito ay mataas na peligro. At ito ay ang isang magsasalakay na maaaring samantalahin ito upang makapagpatupad ng di-makatwirang code (kasama ang malware) na ipinakilala sa panahon ng proseso ng boot, kahit na pinagana ang Secure Boot.
Kaya mga aparato ang network, server, workstation, desktop at laptop, pati na rin iba pang mga aparato tulad ng SBC, ilang mga mobile device, IoT device, atbp.
Bukod dito, ayon sa Eclypsium, ito ay magiging kumplikado upang mabawasan at magtatagal upang makahanap ng solusyon. Mangangailangan ito ng isang malalim na pagsusuri ng mga bootloader at dapat maglabas ang mga vendor ng mga bagong bersyon ng mga bootloader na nilagdaan ng UEFI CA. Kakailanganin ang mga pinagsamang pagsisikap sa pagitan ng mga developer sa bukas na mapagkukunan ng Microsoft at komunidad na nagtutulungan at iba pang mga apektadong may-ari ng system upang ibagsak ang BootHole.
Sa katunayan, nakagawa sila ng isang na gawin listahan upang maiayos ang BootHole sa GRUB2 at kailangan mo:
- I-patch upang i-update ang GRUB2 at alisin ang kahinaan.
- Na ang mga developer ng pamamahagi ng Linux at iba pang mga vendor ay naglalabas ng mga pag-update para sa kanilang mga gumagamit. Parehas sa antas ng GRUB2, mga installer at shims.
- Ang mga bagong shims ay kailangang pirmahan ng Microsoft UEFI CA para sa mga third party.
- Ang mga tagapangasiwa ng mga operating system ay malinaw na kailangang mag-update. Ngunit dapat itong isama ang parehong naka-install na system, mga imahe ng installer at pagbawi rin o bootable media na nilikha nila.
- Ang UEFI Revocation List (dbx) ay kailangan ding i-update sa firmware ng bawat apektadong system upang maiwasan ang pagpapatupad ng code habang boot.
Ang pinakapangit na bagay ay pagdating sa firmware, kailangan mong mag-ingat at mag-ingat na hindi magtapos sa mga problema at manatili ang mga computer sa brick mode.
Sa ngayon, ang mga kumpanya tulad ng Red Hat, HP, Debian, SUSE, Canonical, Oracle, Microsoft, VMWare, Citrix, UEFI Security Response Team at OEMs, pati na rin ang mga nagbibigay ng software, nagtatrabaho na sila upang malutas ito. Gayunpaman, maghihintay kami upang makita ang mga unang patch.
I-UPDATE
Ngunit ang pagmamaliit sa bisa ng mga developer at ng komunidad ay magiging bobo. Meron na maraming mga kandidato sa patch upang mapagaan ito na nagmumula sa mga kumpanya tulad ng Red Hat, Canonical, atbp. Na-flag nila ang isyung ito bilang isang pangunahing priyoridad at nagbabayad ito.
Ang problema? Ang problema ay ang mga patch na ito ay nagdudulot ng karagdagang mga problema. Pinapaalala nito sa akin kung ano ang nangyari sa mga patch ng Metldown at Spectre, na kung minsan ang lunas ay mas masahol kaysa sa sakit ...