Cacat Kritis yang Belum Ditambal Diungkapkan di U-Boot Bootloader untuk Perangkat Tertanam

U-Boot Bootloader for Embedded Devices

Peneliti cybersecurity telah mengungkapkan dua kerentanan keamanan yang belum ditambal di boot loader U-Boot open-source.

Masalah, yang ditemukan dalam algoritma defragmentasi IP yang diterapkan di U-Boot oleh NCC Group, dapat disalahgunakan untuk mencapai penulisan dan penolakan layanan (DoS) di luar batas yang sewenang-wenang.

U-Boot adalah boot loader yang digunakan dalam sistem tertanam berbasis Linux seperti ChromeOS serta pembaca ebook seperti Amazon Kindle dan Kobo eReader.

Keamanan cyber

Masalah diringkas di bawah ini –

  • CVE-2022-30790 (Skor CVSS: 9,6) – Penimpaan Lubang Descriptor dalam defragmentasi paket IP U-Boot mengarah ke primitif penulisan di luar batas yang sewenang-wenang.
  • CVE-2022-30552 (Skor CVSS: 7.1) – Buffer overflow yang besar mengarah ke DoS dalam kode defragmentasi paket IP U-Boot

Perlu dicatat bahwa kedua kekurangan tersebut hanya dapat dieksploitasi dari jaringan lokal. Tetapi melakukan hal itu dapat memungkinkan penyerang untuk melakukan root pada perangkat dan mengarah ke DoS dengan membuat paket yang salah bentuk.

Kekurangan tersebut diharapkan dapat diatasi oleh pengelola U-boot di patch yang akan datang, setelah itu pengguna disarankan untuk memperbarui ke versi terbaru.

Related Post :   Grup Peretas ToddyCat Baru di Radar Pakar Setelah Menargetkan Server MS Exchange

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.