BIOS漏洞,2024年7月
漏洞披露:
本次揭露的目的是為了說明可能影響系統的潛在漏洞Supermicro 由外部研究人員報告的產品。
致謝:
Supermicro 謹此感謝來自中國的研究人員 Eason 和 vul_pwner,感謝他們發現了潛在的漏洞。 Supermicro BIOS韌體。
發現:
Supermicro 已知悉BIOS韌體中存在以下潛在漏洞:輸入驗證不當Supermicro BIOS 可能允許任意記憶體寫入,這可能會被惡意利用。
CVE 和受影響產品:
| CVE ID | CVSS評分 | 漏洞類型 | 受影響的主機板 | 修復程式的 BIOS 版本 |
|---|---|---|---|---|
| CVE-2024-36433 | 高(7.5) | 任意記憶體寫入 |
| v 4.4 |
| CVE-2024-36434 | 高(7.5) | SMM 呼叫 |
| v 4.4 |
| CVE-2024-36432 | 高(7.5) | 任意記憶體寫入 |
| v 4.4 |
減輕:
Supermicro 已製定修復方案以緩解這些潛在漏洞。受影響的主機板正在接受驗證。請查看版本說明以了解解決方案。
剝削與公開聲明:
Supermicro 目前尚未發現任何公開聲明或惡意利用本公告中所述漏洞的情況。