В прошивках некоторых устройств Intel и Lenovo существует заметная проблема, которая остается нерешенной, что делает их уязвимыми для взлома. Эта давняя проблема сохраняется в течение многих лет без решения, поскольку эти конкретные продукты были помечены как «срок службы истек», что означает, что они больше не получают обновлений программного обеспечения. Хотя этот недостаток достаточно значителен, чтобы хакер мог объединить его с другими сложными эксплойтами, сам по себе он представляет лишь минимальную опасность.
Связанный контент
На этой неделе компания Binarly опубликовала отчет с подробным описанием проблем безопасности, связанных с Lighttpd, универсальным веб-сервером с открытым исходным кодом, используемым в различных технических элементах, таких как компоненты встроенного ПО. Летом 2018 года сопровождающие обнаружили уязвимость в Lighttpd, которой потенциально можно было воспользоваться удаленно. Если бы этим недостатком воспользовались, опытный хакер мог бы получить доступ к конфиденциальным данным безопасности.
Связанный контент
- Выключенный
- Английский
По словам исследователей Binarly, разработчики программного обеспечения Lighttpd незаметно выпустили исправление в своем собственном коде, но не формализовали его через CVE — общий идентификатор уязвимостей и рисков, — который позволил бы компаниям, использующим программное обеспечение, устранить проблему. Lighttpd используется во многих продуктах, в том числе производимых American Megatrends International (AMI), компанией, которая производит большую часть встроенного программного обеспечения, на которое полагаются крупные компании.
Волновой эффект таков, что некоторые типы оборудования, в том числе продукты Lenovo и Intel, не получили необходимого ремонта и, таким образом, остаются подверженными дефектам. К сожалению, по мнению исследователей Binarly, эти устройства больше не будут обновляться с помощью исправлений программного обеспечения от своих производителей.
В ответ Lenovo признала проблему AMI MegaRAC, поднятую Binarly, и заявила, что сотрудничает со своим поставщиком для оценки любых возможных последствий для продуктов Lenovo. Intel, с другой стороны, подтвердила, что срок эксплуатации устройства истек, а это означает, что дальнейшие обновления, функциональные или связанные с безопасностью, доступны не будут.
Ars Technica отмечает, что серьезность уязвимости Lighttpd умеренная, но она полезна только для злоумышленников, у которых уже есть эксплойты для более серьезных уязвимостей. Исследователи Binarly предупреждают, что эта ошибка позволяет злоумышленнику получить доступ к памяти процессов веб-сервера Lighttpd, что потенциально может привести к краже данных, таких как адреса памяти. Такая информация может быть использована для дальнейших атак, включая обход таких мер безопасности, как рандомизация адресного пространства (ASLR). По сути, эта ошибка служит отправной точкой для более сложных атак, увеличивая риск вторжения и возможного компрометации.
Смотрите также
- Океан зовет к новому приключению в диснеевской «Моане 2»
- Новый сериал Netflix раскрывает скандальные истории, стоящие за взломом Эшли Мэдисон
- Микки Маус сразится с Винни-Пухом в новейшей общедоступной феерии ужасов
- Тесты показывают, что iPad Pro M4 быстрее и умнее, чем MacBook M3 Pro
- «Басня» — краткий обзор и обзор 1-го сезона 8-й серии
- Китайский космический самолет вывел на орбиту загадочный объект через несколько месяцев после запуска
- Исследование показало, что древние египтяне пытались лечить рак хирургическим путем
- Лучшие бесплатные PDF-редакторы для Mac
- Apple Pencil Pro: все новые возможности
- Демократы выдвинут кандидатуру Байдена вместо Zoom, чтобы попасть в бюллетени для голосования в Огайо
2024-04-12 18:45