Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Defectos críticos sin parches revelados en U-Boot Bootloader para dispositivos integrados

Defectos críticos sin parches revelados en U-Boot Bootloader para dispositivos integrados

por Dragora

Los investigadores de ciberseguridad han revelado dos vulnerabilidades de seguridad sin parchear en el cargador de arranque U-Boot de código abierto.

Los problemas, que se descubrieron en el algoritmo de desfragmentación de IP implementado en U-Boot por NCC Group, podrían abusarse para lograr escritura arbitraria fuera de los límites y denegación de servicio (DoS).

Cargador de arranque U-Boot para dispositivos integrados

 

U-Boot es un cargador de arranque que se utiliza en sistemas integrados basados ​​en Linux, como ChromeOS, así como en lectores de libros electrónicos, como Amazon Kindle y Kobo eReader.

Los problemas se resumen a continuación:

  • CVE-2022-30790 (puntuación CVSS: 9,6): la sobrescritura del descriptor de agujeros en la desfragmentación de paquetes IP de U-Boot conduce a una primitiva de escritura arbitraria fuera de los límites.
  • CVE-2022-30552 (puntaje CVSS: 7.1): un gran desbordamiento de búfer conduce a DoS en el código de desfragmentación de paquetes IP de U-Boot

Vale la pena señalar que ambas fallas solo se pueden explotar desde la red local. Pero hacerlo puede permitir que un atacante rootee los dispositivos y provoque un DoS al crear un paquete con formato incorrecto.

Se espera que los mantenedores de U-boot resuelvan las deficiencias en un próximo parche, luego de lo cual se recomienda a los usuarios que actualicen a la última versión .

Fuente: https://thehackernews.com

You may also like

Dejar Comentario

Click to listen highlighted text!