1 月 19 日消息，法國網絡安全公司 Quarkslab 日前公布了一項名為 PixieFAIL 的 UEFI 漏洞，該漏洞允許黑客遠程發動 DoS 攻擊、執行任意代碼、劫持網絡會話。包括微軟、ARM、谷歌等公司旗下產品均遭影響。

注意到，相關漏洞主要存在于英特爾 TianoCore EDK II 開發環境中，由 9 項子漏洞組成，具體列表如下：

• 整數溢出漏洞：CVE-2023-45229

• 緩沖區溢出漏洞：CVE-2023-45230、CVE-2023-45234、CVE-2023-45235

• 越界讀取漏洞：CVE-2023-45231

• 循環漏洞：CVE-2023-45232、CVE-2023-45233

• TCP 序列號預測漏洞：CVE-2023-45236

• 弱偽隨機數生成器漏洞：CVE-2023-45237

研究人員指出，當下許多企業計算機及服務器使用網絡啟動操作系統，為了提供相關功能，UEFI 需要在驅動執行環境（DXE）階段實現了一個完整的 IP 堆棧，從而形成了相關漏洞，允許黑客在預啟動執行環境（Preboot Execution Environment，PXE）入侵本地局域網計算機，進而進行惡意行為。

據悉，由于微軟 Project Mu、谷歌 ChromeOS、Phoenix Technologies 的 SecureCore 等產品中均包含 TianoCore EDK II 部分代碼，因此 PixieFAIL 漏洞也會影響相關軟件。

實際上，Quarkslab 早在去年 8 月向法國計算機應急和協調中心（CERT-FR）報告了 PixieFAIL 漏洞，并提供了其中 7 個子漏洞的概念驗證程序。該公司原計劃于去年 11 月 2 日公開披露該漏洞，但收到了各廠商的推遲披露請求，并一再推遲，直到當下絕大多數廠商修復完成后，該安全公司才最終官宣披露相關漏洞。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯

總結

以上是生活随笔為你收集整理的影响微软谷歌旗下产品，研究人员公布 UEFI 漏洞 PixieFAIL的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。