В прошивках некоторых устройств Intel и Lenovo существует заметная проблема, которая остается нерешенной, что делает их уязвимыми для взлома. Эта давняя проблема сохраняется в течение многих лет без решения, поскольку эти конкретные продукты были помечены как «срок службы истек», что означает, что они больше не получают обновлений программного обеспечения. Хотя этот недостаток достаточно значителен, чтобы хакер мог объединить его с другими сложными эксплойтами, сам по себе он представляет лишь минимальную опасность.
Связанный контент
На этой неделе компания Binarly опубликовала отчет с подробным описанием проблем безопасности, связанных с Lighttpd, универсальным веб-сервером с открытым исходным кодом, используемым в различных технических элементах, таких как компоненты встроенного ПО. Летом 2018 года сопровождающие обнаружили уязвимость в Lighttpd, которой потенциально можно было воспользоваться удаленно. Если бы этим недостатком воспользовались, опытный хакер мог бы получить доступ к конфиденциальным данным безопасности.
Связанный контент
- Выключенный
- Английский
По словам исследователей Binarly, разработчики программного обеспечения Lighttpd незаметно выпустили исправление в своем собственном коде, но не формализовали его через CVE — общий идентификатор уязвимостей и рисков, — который позволил бы компаниям, использующим программное обеспечение, устранить проблему. Lighttpd используется во многих продуктах, в том числе производимых American Megatrends International (AMI), компанией, которая производит большую часть встроенного программного обеспечения, на которое полагаются крупные компании.
Волновой эффект таков, что некоторые типы оборудования, в том числе продукты Lenovo и Intel, не получили необходимого ремонта и, таким образом, остаются подверженными дефектам. К сожалению, по мнению исследователей Binarly, эти устройства больше не будут обновляться с помощью исправлений программного обеспечения от своих производителей.
В ответ Lenovo признала проблему AMI MegaRAC, поднятую Binarly, и заявила, что сотрудничает со своим поставщиком для оценки любых возможных последствий для продуктов Lenovo. Intel, с другой стороны, подтвердила, что срок эксплуатации устройства истек, а это означает, что дальнейшие обновления, функциональные или связанные с безопасностью, доступны не будут.
Ars Technica отмечает, что серьезность уязвимости Lighttpd умеренная, но она полезна только для злоумышленников, у которых уже есть эксплойты для более серьезных уязвимостей. Исследователи Binarly предупреждают, что эта ошибка позволяет злоумышленнику получить доступ к памяти процессов веб-сервера Lighttpd, что потенциально может привести к краже данных, таких как адреса памяти. Такая информация может быть использована для дальнейших атак, включая обход таких мер безопасности, как рандомизация адресного пространства (ASLR). По сути, эта ошибка служит отправной точкой для более сложных атак, увеличивая риск вторжения и возможного компрометации.
Смотрите также
- Нет, генеральный директор Apple Тим Кук не говорил, что предпочитает Logitech MX Master 3 Magic Mouse
- Я видел сияние телевизора (2024). Объяснение концовки: настоящий ли «Розовый непрозрачный»?
- Шоу 8 – Краткое содержание и обзор эпизода 5 дорамы
- Как объединить данные учетной записи пользователя в macOS
- Компьютеры Mac M4 не могут запускать виртуальные машины macOS ранее, чем Ventura 13.4
- Обзор OWC Express 1M2: твердотельные накопители не могут быть лучше этого
- Facebook Messenger получает интеграцию с Siri, голосовые аудио- и видеосообщения и многое другое
- Обои «Скрытый лес» в macOS Sequoia Beta 5
- Продлили ли «Антрацит» на 2 сезон? Вот что мы знаем:
- Стефан Барецки основан на реальном человеке? | Нацистская гвардия СС изображена в «Татуировке Освенцима»
2024-04-12 18:45