В прошивках некоторых устройств Intel и Lenovo существует заметная проблема, которая остается нерешенной, что делает их уязвимыми для взлома. Эта давняя проблема сохраняется в течение многих лет без решения, поскольку эти конкретные продукты были помечены как «срок службы истек», что означает, что они больше не получают обновлений программного обеспечения. Хотя этот недостаток достаточно значителен, чтобы хакер мог объединить его с другими сложными эксплойтами, сам по себе он представляет лишь минимальную опасность.
Связанный контент
На этой неделе компания Binarly опубликовала отчет с подробным описанием проблем безопасности, связанных с Lighttpd, универсальным веб-сервером с открытым исходным кодом, используемым в различных технических элементах, таких как компоненты встроенного ПО. Летом 2018 года сопровождающие обнаружили уязвимость в Lighttpd, которой потенциально можно было воспользоваться удаленно. Если бы этим недостатком воспользовались, опытный хакер мог бы получить доступ к конфиденциальным данным безопасности.
Связанный контент
- Выключенный
- Английский
По словам исследователей Binarly, разработчики программного обеспечения Lighttpd незаметно выпустили исправление в своем собственном коде, но не формализовали его через CVE — общий идентификатор уязвимостей и рисков, — который позволил бы компаниям, использующим программное обеспечение, устранить проблему. Lighttpd используется во многих продуктах, в том числе производимых American Megatrends International (AMI), компанией, которая производит большую часть встроенного программного обеспечения, на которое полагаются крупные компании.
Волновой эффект таков, что некоторые типы оборудования, в том числе продукты Lenovo и Intel, не получили необходимого ремонта и, таким образом, остаются подверженными дефектам. К сожалению, по мнению исследователей Binarly, эти устройства больше не будут обновляться с помощью исправлений программного обеспечения от своих производителей.
В ответ Lenovo признала проблему AMI MegaRAC, поднятую Binarly, и заявила, что сотрудничает со своим поставщиком для оценки любых возможных последствий для продуктов Lenovo. Intel, с другой стороны, подтвердила, что срок эксплуатации устройства истек, а это означает, что дальнейшие обновления, функциональные или связанные с безопасностью, доступны не будут.
Ars Technica отмечает, что серьезность уязвимости Lighttpd умеренная, но она полезна только для злоумышленников, у которых уже есть эксплойты для более серьезных уязвимостей. Исследователи Binarly предупреждают, что эта ошибка позволяет злоумышленнику получить доступ к памяти процессов веб-сервера Lighttpd, что потенциально может привести к краже данных, таких как адреса памяти. Такая информация может быть использована для дальнейших атак, включая обход таких мер безопасности, как рандомизация адресного пространства (ASLR). По сути, эта ошибка служит отправной точкой для более сложных атак, увеличивая риск вторжения и возможного компрометации.
Смотрите также
- Мэриленд (2024), обзор PBS. Этот британский мини-сериал — утомительная работа, которую нужно пережить.
- Океан зовет к новому приключению в диснеевской «Моане 2»
- Beats намекает, что в следующем году появятся новые Powerbeats Pro 2
- Новый сериал Netflix раскрывает скандальные истории, стоящие за взломом Эшли Мэдисон
- Да, это момент в «Звездном пути: открытие, где все должно пойти наперекосяк»
- Диснеевский музыкант Ричард Шерман умер в возрасте 95 лет
- Apple прекращает подписывать iOS 17.5, переход на более раннюю версию больше невозможен
- Приз «Большая дверь» – краткий обзор и обзор 2-й серии 8-й серии
- Хью Грант раскрывает свою судьбу злодея ужасов в первом трейлере «Еретика»
- Руководство покупателя AirPods 4 и предыдущих поколений: сравнение всех обновлений
2024-04-12 18:45