Huis > Cyber ​​Nieuws > U-boot Loader bevat niet-gepatchte kritieke fouten (CVE-2022-30790)
CYBER NEWS

U-boot Loader bevat niet-gepatchte kritieke fouten (CVE-2022-30790)

U-boot Loader bevat niet-gepatchte kritieke fouten (CVE-2022-30790)

Twee beveiligingsproblemen, CVE-2022-30790 en CVE-2022-30552, werden ontdekt in U-boot, een populaire bootloader voor embedded systemen.

De lader heeft veel implementaties voor verschillende architecturen, en is aanwezig in de meeste op Linux gebaseerde embedded systemen, inclusief ChromeOS en Android. De twee kwetsbaarheden bevinden zich in het IP-defragmentatie-algoritme.

Opgemerkt moet worden dat de ontwikkeling van u-boot "nauw verwant is aan Linux". Volgens de GitHub-pagina van het project, sommige delen van de broncode zijn afkomstig uit de Linux-broncodeboom, met enkele header-bestanden gemeen.




CVE-2022-30790 en CVE-2022-30552

De kwetsbaarheden kunnen worden gebruikt bij willekeurige out-of-bounds schrijfaanvallen, evenals denial-of-service-aanvalscenario's:

  • Technisch advies - Hole Descriptor Overschrijven in U-Boot IP-pakketdefragmentatie leidt tot willekeurig buiten de grenzen schrijven primitief (CVE-2022-30790);
  • Technisch advies – Grote bufferoverloop leidt tot DoS in U-Boot IP-pakketdefragmentatiecode (CVE-2022-30552).

CVE-2022-30790 is van invloed op de U-Boot-implementatie van RFC815 IP-DATAGRAMMA-OPNIEUW MONTAGE-ALGORITHMS, die vatbaar is voor een Hole Descriptor-overschrijfaanval die uiteindelijk leidt tot een willekeurige schrijfprimitief.

CVE-2022-30552 kan leiden tot een bufferoverloop via een speciaal vervaardigd gefragmenteerd IP-datagram met een ongeldige totale lengte die een denial of service veroorzaakt.

Beide problemen kunnen alleen worden misbruikt vanaf het lokale netwerk, waardoor aanvallers de apparaten kunnen rooten en a DoS-aanval via een misvormd pakket. Oplossingen worden binnenkort beschikbaar gemaakt, en gebruikers moeten zo snel mogelijk updaten naar de nieuwste versie. Meer informatie is beschikbaar in de officiële adviesorgaan.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens