В прошивках некоторых устройств Intel и Lenovo существует заметная проблема, которая остается нерешенной, что делает их уязвимыми для взлома. Эта давняя проблема сохраняется в течение многих лет без решения, поскольку эти конкретные продукты были помечены как «срок службы истек», что означает, что они больше не получают обновлений программного обеспечения. Хотя этот недостаток достаточно значителен, чтобы хакер мог объединить его с другими сложными эксплойтами, сам по себе он представляет лишь минимальную опасность.
Связанный контент
На этой неделе компания Binarly опубликовала отчет с подробным описанием проблем безопасности, связанных с Lighttpd, универсальным веб-сервером с открытым исходным кодом, используемым в различных технических элементах, таких как компоненты встроенного ПО. Летом 2018 года сопровождающие обнаружили уязвимость в Lighttpd, которой потенциально можно было воспользоваться удаленно. Если бы этим недостатком воспользовались, опытный хакер мог бы получить доступ к конфиденциальным данным безопасности.
Связанный контент
- Выключенный
- Английский
По словам исследователей Binarly, разработчики программного обеспечения Lighttpd незаметно выпустили исправление в своем собственном коде, но не формализовали его через CVE — общий идентификатор уязвимостей и рисков, — который позволил бы компаниям, использующим программное обеспечение, устранить проблему. Lighttpd используется во многих продуктах, в том числе производимых American Megatrends International (AMI), компанией, которая производит большую часть встроенного программного обеспечения, на которое полагаются крупные компании.
Волновой эффект таков, что некоторые типы оборудования, в том числе продукты Lenovo и Intel, не получили необходимого ремонта и, таким образом, остаются подверженными дефектам. К сожалению, по мнению исследователей Binarly, эти устройства больше не будут обновляться с помощью исправлений программного обеспечения от своих производителей.
В ответ Lenovo признала проблему AMI MegaRAC, поднятую Binarly, и заявила, что сотрудничает со своим поставщиком для оценки любых возможных последствий для продуктов Lenovo. Intel, с другой стороны, подтвердила, что срок эксплуатации устройства истек, а это означает, что дальнейшие обновления, функциональные или связанные с безопасностью, доступны не будут.
Ars Technica отмечает, что серьезность уязвимости Lighttpd умеренная, но она полезна только для злоумышленников, у которых уже есть эксплойты для более серьезных уязвимостей. Исследователи Binarly предупреждают, что эта ошибка позволяет злоумышленнику получить доступ к памяти процессов веб-сервера Lighttpd, что потенциально может привести к краже данных, таких как адреса памяти. Такая информация может быть использована для дальнейших атак, включая обход таких мер безопасности, как рандомизация адресного пространства (ASLR). По сути, эта ошибка служит отправной точкой для более сложных атак, увеличивая риск вторжения и возможного компрометации.
Смотрите также
- «Трудные мили» основаны на реальной истории?
- Стефан Барецки основан на реальном человеке? | Нацистская гвардия СС изображена в «Татуировке Освенцима»
- Челюсть в Англии принадлежит самой крупной морской рептилии, когда-либо известной
- Как удалить системные данные на Mac
- Объяснение концовки «Посева» (2024) – Какова «цель» Уиндема?
- Дэйв Филони не исключает, что «Звездные войны» будут более острыми
- Обзор Baseus Nomos Qi2 Magnetic Power Bank: самая быстрая зарядка аккумулятора iPhone
- Татуировщик из Освенцима – краткий обзор и обзор 1 сезона 5 серии
- Обзор первого сезона «Самый слабый укротитель начал путешествие по сбору мусора» – трогательное аниме, которое изо всех сил пытается сиять
- Удачи в просмотре Fallout теперь, когда на Amazon Prime Video будет еще больше рекламы
2024-04-12 18:45