引导加载程序Das U-Boot曝出4大漏洞

引导加载程序Das U-Boot近日曝出存在4个安全漏洞，分别是CVE-2019-13103、CVE-2019-13104、CVE-2019-13105及CVE-2019-13106，它们可让攻击者执行任意程序。

Das U-Boot是一个开源的开机载入程序，通常被使用在嵌入式设备中，用来打包可启动设备操作系统核心的指令，它支持ARM、 MIPS、RISC-V与x86等多种电脑架构，不管是Amazon的Kindle、基于ARM的Chromebook或网络设备往往都采用了Das U-Boot。

不过，研究人员发现Das U-Boot文件系统的驱动程序中含有许多漏洞，例如CVE-2019-13103属于堆积溢位漏洞，可引发DDoS攻击或让骇客执行任意程序。CVE-2019-13104则是个缓冲区溢位漏洞，可能导致内存损毁。CVE-2019-13105则会造成内存重复释放。

而CVE-2019-13106则是个更严重的缓冲区溢位漏洞，将让骇客轻易地掌控CPU，从而破坏经过验证的启动。

据悉，U-Boot已在2019.10版中修补了相关的漏洞，但如果使用Das U-Boot的设备制造商不进行修补的话，依然会带来安全风险。

研究人员表示，作为一个经常被使用在嵌入式设备的开机载入程序，其更新周期通常很长，甚至是从不更新的，所以含有漏洞的版本比如还会存在一段时间，但相关漏洞所带来的风险程度，将不容忽视。

(7320035)