Сегодня 13 июля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Hardware

У новых плат Gigabyte обнаружился бэкдор — через него злоумышленник может подменить BIOS

Исследовательская компания Eclysium обнаружила серьёзную уязвимость в прошивке Gigabyte UEFI, установленной на сотнях моделей материнских плат. Бэкдор позволяет установить обновления BIOS с незащищённых веб-серверов. Этот код Gigabyte использовала для установки обновлений BIOS либо через Интернет, либо из подключённого хранилища в локальной сети. Но инструмент не имеет защиты и осведомлённый злоумышленник может загрузить свой собственный код BIOS в материнскую плату ПК.

 Источник изображения: pexels.com

Источник изображения: pexels.com

Проблема была обнаружена в исполняемом файле утилиты Gigabyte App Center, который может устанавливать новую прошивку UEFI BIOS, загружая её с незащищённого сервера Gigabyte и устанавливая программное обеспечение без какой-либо проверки цифровой подписи.

Эта уязвимость системы безопасности может привести к тому, что злоумышленники будут использовать OEM-бэкдор для загрузки вредоносного кода, такого как руткиты, либо сразу на компьютер пользователя, либо через компрометацию собственного сервера Gigabyte. Также возможны атаки типа «человек посередине», перехватывающие процесс загрузки. Eclysium опубликовала три URL-адреса Gigabyte, которые рекомендуется заблокировать пользователям для предотвращения обновлений через Интернет.

Затронуты сотни моделей розничных и корпоративных материнских плат, в том числе некоторые из новейших системных плат для сборщиков систем высокого класса. В списке плат с бэкдором фигурирует 271 модель, включая продукты на базе чипсетов A520, A620, B360, B450, B460, B550, B650, B660, Z590, Z690, а полный список можно посмотреть здесь (ссылка в формате PDF). Eclysium сообщает, что проинформировала Gigabyte об уязвимости и что компания планирует решить проблему, предположительно, с помощью обновления прошивки, что не может не вызвать нервную усмешку. С подробной технической информацией об обнаружении уязвимости можно ознакомиться в блоге компании Eclysium.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Еврокомиссия замахнулась на X Илона Маска: соцсеть обвинили в обмане из-за синей галочки 33 мин.
Новая статья: Zenless Zone Zero — игра о вреде телевизоров. Рецензия 3 ч.
Как и 37 лет назад: первый трейлер Double Dragon Revive не разочаровал фанатов серии 3 ч.
В VK Play Cloud появились The Legend of Zelda: Tears of the Kingdom и Animal Crossing: New Horizons, но ненадолго 4 ч.
Соцсеть X снова тестирует функцию дизлайков, но на этот раз для комментариев 5 ч.
МОК объявил, когда и где пройдут первые в истории киберспортивные Олимпийские игры — League of Legends, Street Fighter и не только 6 ч.
Battlestate Games добавила в Escape From Tarkov: Arena классический режим из Counter-Strike 7 ч.
Хакеры похитили «почти всю» базу абонентов AT&T — одного из крупнейших сотовых операторов в США 8 ч.
Олдскульный боевик The Karate Kid: Street Rumble позволит пережить историю классической трилогии фильмов «Парень-каратист» 9 ч.
«Вы это заслужили»: игроки спасли от закрытия авторов серии Deliver Us — новую часть профинансировали в последний момент 9 ч.
Ryzen 9 9950X оказался на 20 % быстрее Ryzen 9 7950X в Blender при одинаковом энергопотреблении 37 мин.
Honor представила тонкий и лёгкий ноутбук MagicBook Art 14 2024 с OLED-экраном и Intel Meteor Lake 9 ч.
Запуск китайской частной ракеты Hyperbola-1 завершился провалом — уже четвёртый раз кряду 9 ч.
Honor представила планшет MagicPad 2 с OLED-экраном и Snapdragon 8s Gen 3, а также планшет Pad 9 Pro на Dimensity 8100 11 ч.
Oracle арендует у майнеров Crusoe Energy дата-центр, чтобы разместить там ускорители NVIDIA для OpenAI 12 ч.
Honor представила доступный складной смартфон Magic Vs3 с тонким корпусом — от $965 12 ч.
Honor представила Magic V3 — самый тонкий складной смартфон в мире 13 ч.
Нефтяная компания Gulf Oil выпустит жидкость для систем охлаждения дата-центров 13 ч.
Японский спутник-инспектор космического мусора поманеврировал около старой ступени ракеты 13 ч.
Провайдерам США не хватает $3 млрд, чтобы избавиться от оборудования Huawei и ZTE 14 ч.