Notes de vulnérabilité RSS CER... Note

Notes de vulnérabilité RSS CERT récemment publiées

kb.cert.org/vuls est une page web maintenue par l'Institut d'ingénierie logicielle de l'Université Carnegie Mellon (SEI) qui offre une base de données publiquement accessible des vulnérabilités logicielles connues. Elle recense une grande quantité d'informations sur les vulnérabilités, y compris des identifiants, des descriptions, des évaluations de gravité et des impacts potentiels, aidant les utilisateurs à rester informés sur les risques de sécurité potentiels.

Fil de notes

Une compromission significative de la chaîne d'approvisionnement npm, surnommée Shai-Hulud, a été révélée en septembre 2025. Plus de 500 packages npm ont été affectés par ce malware auto-propagateur. L'attaque utilise le vol d'identifiants et la publication automatisée de packages pour se propager. Elle exploite des vulnérabilités connues telles que les scripts postinstall et les compromissions de plateformes CI/CD.Le malware a probablement commencé par exécuter un fichier malicious bundle.js via un script postinstall après l'installation du package. Ce script a ensuite scanné et collecté des secrets à l'aide d'outils comme TruffleHog. Les identifiants volés ont été utilisés pour publier le malware dans d'autres dépôts, transformant les systèmes compromis en nouveaux vecteurs d'infection. GitHub Actions a été particulièrement abusé pour la trojanisation automatisée, une tactique déjà observée auparavant.L'impact inclut plus de 500 packages compromis et la compromission potentielle du compte npm de CrowdStrike. GitHub et la CISA ont publié des avis concernant cet incident. Pour l'atténuation, les utilisateurs npm devraient auditer et remplacer les packages compromis, verrouiller les dépendances à l'aide de package-lock.json, et envisager des miroirs internes. La désactivation des scripts postinstall lorsque cela est possible est également conseillée. Les développeurs devraient faire pivoter les identifiants exposés et appliquer les principes du moindre privilège dans les environnements CI/CD.
Deux vulnérabilités de sécurité locales ont été découvertes dans Sunshine pour Windows, affectant la version v2025.122.141614 et potentiellement les versions antérieures. Ces vulnérabilités pourraient permettre à des attaquants d'exécuter du code arbitraire et d'obtenir des privilèges élevés sur les systèmes compromis. Sunshine est un hôte de streaming de jeux auto-hébergé pour Moonlight. La première vulnérabilité, CVE-2025-10198, est un problème de chemin de service non cité. Cela permet à un attaquant local de placer un exécutable malveillant dans un répertoire du chemin du service. Lorsque le service démarre, il exécuterait le code malveillant avec des privilèges élevés. La deuxième vulnérabilité, CVE-2025-10199, est un défaut de détournement de l'ordre de recherche DLL. Cela signifie qu'un attaquant peut placer une DLL malveillante dans un répertoire accessible en écriture par l'utilisateur dans la variable d'environnement PATH. L'application pourrait alors charger cette DLL malveillante, conduisant à l'exécution de code arbitraire. CVE-2025-10198 permet une élévation de privilèges vers SYSTEM, permettant une compromission complète de la machine. CVE-2025-10199 permet l'exécution de code malveillant dans le contexte de l'utilisateur. Les utilisateurs doivent appliquer une mise à jour du projet Sunshine lorsqu'elle sera disponible. D'ici là, les utilisateurs peuvent atténuer ces problèmes en s'assurant qu'aucun répertoire accessible en écriture par l'utilisateur ne se trouve dans le PATH. Ils doivent également citer tous les chemins de service dans les configurations de service Windows. Enfin, la restriction des permissions sur les répertoires liés aux services peut empêcher le placement de fichiers non autorisés.
Le logiciel de comptabilité municipale Workhorse Software Services, avant la version 1.9.4.48019, présente des failles de conception critiques. Ces failles permettent l'accès non autorisé à des données municipales sensibles et permettent l'exfiltration de données. Une vulnérabilité majeure concerne le stockage en clair des informations de connexion de base de données à côté de l'exécutable de l'application. Cela permet aux individus ayant accès en lecture au répertoire de récupérer éventuellement les informations d'identification SQL si l'authentification SQL est utilisée. De plus, le logiciel présente une fonction de sauvegarde de base de données non authentifiée accessible même à partir de l'écran de connexion. Cette sauvegarde crée un archive ZIP non chiffré contenant un fichier .bak qui peut être restauré sans mot de passe. Un attaquant pourrait exploiter ces vulnérabilités, par exemple, en obtenant un accès physique à une station de travail ou en utilisant un malware. L'impact d'une telle attaque pourrait être l'exfiltration de la base de données entière. Cela pourrait exposer des informations personnelles identifiables sensibles et des enregistrements financiers municipaux complets. La falsification de données, la compromission des traces d'audit et la mise en danger des opérations financières sont également des risques significatifs. Le CERT/CC recommande fortement de mettre à jour vers la version 1.9.4.48019 immédiatement. Des stratégies de mitigation supplémentaires incluent la restriction de l'accès au répertoire de l'application et l'activation du chiffrement du serveur SQL avec l'authentification Windows.
Une vulnérabilité récemment découverte, connue sous le nom de « MadeYouReset » (CVE-2025-8671), affecte de nombreuses implémentations HTTP/2. Cette faille permet des attaques de déni de service (DoS) en exploitant une incohérence dans la façon dont les réinitialisations de flux sont gérées. La vulnérabilité apparaît parce que, tandis que les spécifications HTTP/2 considèrent un flux réinitialisé comme fermé, de nombreuses implémentations de serveur continuent de traiter la requête en interne. Cette disparité signifie qu'un client peut déclencher un nombre illimité de requêtes concurrentes sur une seule connexion. Les attaquants peuvent exploiter cela en envoyant rapidement des trames de réinitialisation, provoquant une épuisement des ressources sur le serveur. L'impact principal est le potentiel pour des attaques de déni de service distribué (DDoS), entraînant une surcharge du serveur ou une épuisement de la mémoire. Bien que HTTP/2 ait un réglage pour le nombre maximal de flux concurrents, les flux de réinitialisation ne sont pas pris en compte dans cette limite. Cette vulnérabilité est similaire à l'attaque « Rapid Reset » (CVE-2023-44487). Plusieurs vendeurs ont publié des correctifs, et les utilisateurs sont conseillés de les appliquer. Le CERT/CC recommande que les vendeurs examinent leurs implémentations HTTP/2 et limitent les RST_STREAM envoyés par le serveur. Des stratégies de mitigation supplémentaires sont disponibles auprès des rapporteurs de la vulnérabilité.
Des vulnérabilités d'appel en mode de gestion du système (SMM) ont été identifiées dans les modules UEFI présents dans le micrologiciel Gigabyte. Ces vulnérabilités peuvent être exploitées pour élever les privilèges et exécuter du code arbitraire dans l'environnement SMM d'un processeur compatible UEFI. La spécification de l'interface de firmware extensible unifiée (UEFI) définit une interface entre un système d'exploitation et un firmware de plate-forme, et UEFI peut interagir directement avec le matériel en utilisant SMM. Les opérations SMM sont exécutées dans une région de mémoire protégée appelée System Management RAM (SMRAM) et ne sont accessibles que par le biais de gestionnaires d'interruptions de gestion du système (SMI). Quatre vulnérabilités ont été identifiées dans les implémentations de micrologiciel Gigabyte, notamment l'utilisation non vérifiée du registre RBX, le manque de validation des structures de pointeurs de fonction, la vulnérabilité de déréférencement de pointeur double et le registre RBX contrôlé par l'attaquant utilisé comme pointeur non vérifié. Ces vulnérabilités peuvent être déclenchées via des gestionnaires SMI à partir du système d'exploitation ou pendant les phases de démarrage précoce, les états de veille ou les modes de récupération. Un attaquant avec des privilèges administratifs locaux ou à distance peut exploiter ces vulnérabilités pour exécuter du code arbitraire en mode de gestion du système, contournant ainsi les protections au niveau du système d'exploitation. L'exploitation peut désactiver les mécanismes de sécurité UEFI tels que Secure Boot et Intel BootGuard, permettant ainsi des implants de firmware furtifs et un contrôle persistant du système. Gigabyte a publié un micrologiciel mis à jour pour résoudre les vulnérabilités, et les utilisateurs sont fortement invités à visiter le site de support Gigabyte pour déterminer si leurs systèmes sont affectés et pour appliquer les mises à jour nécessaires.
Une vulnérabilité dans les applications de firmware UEFI DTBios et BiosFlashShell de DTResearch permet de contourner le démarrage sécurisé (Secure Boot) en utilisant une variable NVRAM spécialement conçue. La vulnérabilité découle de la mauvaise gestion d'une variable NVRAM à l'exécution, permettant une primitive d'écriture pour modifier des structures de firmware critiques, notamment le protocole de sécurité globale Security2 utilisé pour la vérification du démarrage sécurisé. Étant donné que les applications affectées sont signées par l'autorité de certification Microsoft, cette vulnérabilité peut être exploitée sur tout système UEFI-compliant, permettant l'exécution de code non signé pendant le processus de démarrage. La vulnérabilité a été identifiée dans une application UEFI signée par Microsoft qui utilise la variable NVRAM IhisiParamBuffer pour des opérations de mémoire, notamment la surécriture du paramètre de sécurité global critique gSecurity2. Cela permet de contourner la vérification basée sur le protocole d'architecture de sécurité 2, autorisant l'exécution de tout code UEFI non signé, indépendamment des paramètres de démarrage sécurisé UEFI. La vulnérabilité peut être exploitée dans les environnements où la variable NVRAM IhisiParamBuffer n'est pas verrouillée et reste modifiable à l'exécution. Pour atténuer cette vulnérabilité, les modules UEFI affectés doivent être mis à jour via des logiciels fournis par le vendeur, et tous les propriétaires de systèmes UEFI-compliant doivent mettre à jour leur base de données de signatures de démarrage sécurisé interdites. Un attaquant capable de modifier la variable NVRAM IhisiParamBuffer peut l'utiliser pour effectuer des écritures mémoire arbitraires, permettant de contourner le démarrage sécurisé pendant le démarrage précoce. Cela permet l'exécution de code non signé ou malveillant avant que le système d'exploitation ne se charge, ce qui peut installer des malware persistants ou des rootkits de noyau qui survivent aux redémarrages et réinstallations du système d'exploitation.
Une vulnérabilité a été identifiée dans la spécification de la bibliothèque (TPM) 2.0, qui peut être exploitée par un attaquant ayant accès à une commande TPM. L'attaquant peut envoyer des commandes spécialement conçues, ce qui peut entraîner un accès non autorisé à des données sensibles ou une déni de service du TPM. La technologie TPM fournit des fonctions cryptographiques sécurisées aux systèmes d'exploitation sur les plateformes informatiques modernes. Le groupe de travail sur la confiance dans l'informatique (TCG) maintient les spécifications TPM et fournit une implémentation de référence pour aider les vendeurs à adopter. Un chercheur en sécurité a découvert une vulnérabilité de lecture hors limite (OOB) dans la fonction CryptHmacSign de l'implémentation de référence. Le problème survient parce que le code de référence n'a pas mis en place des vérifications de cohérence appropriées, ce qui peut entraîner une lecture hors limite. Un attaquant peut exploiter cette incohérence en soumettant un paquet malveillant, ce qui entraîne une lecture hors limite de la mémoire TPM, ce qui peut exposer des données sensibles. Un attaquant local authentifié peut envoyer des commandes malveillantes à une interface TPM vulnérable, ce qui peut entraîner une divulgation d'informations ou une déni de TPM. Le TCG a publié une mise à jour d'errata pour la spécification de la bibliothèque TPM 2.0 et a mis à jour les implémentations de référence pour résoudre ce problème. Les utilisateurs sont fortement encouragés à appliquer les mises à jour liées au micrologiciel TPM fournies par leurs vendeurs de matériel ou de système.
Une vulnérabilité dans le firmware UEFI Insyde H2O permet l'injection de certificats numériques via une variable NVRAM protégée. Ce problème découle de l'utilisation non sécurisée d'une variable NVRAM, qui est utilisée comme stockage fiable pour un certificat numérique dans la chaîne de validation de confiance. Un attaquant peut stocker son propre certificat dans cette variable et exécuter ensuite du code firmware arbitraire pendant le processus de démarrage précoce dans l'environnement UEFI. Les applications UEFI doivent être signées et vérifiées pour l'exécution sous Secure Boot, et les signatures peuvent provenir de l'OEM ou des entrées dans la base de données de signature du système. La vulnérabilité a été identifiée en raison de l'utilisation d'une variable NVRAM non fiable, SecureFlashCertData, pour stocker et échanger des clés publiques. Parce que cette variable NVRAM n'est pas protégée, elle peut être mise à jour à l'exécution, permettant à un attaquant d'injecter ses propres clés. Pour atténuer cette vulnérabilité, les modules UEFI affectés doivent être mis à jour via des mises à jour de firmware fournies par le vendeur. Les outils d'analyse de sécurité du firmware peuvent également inspecter les variables affectées dans les images de firmware pour évaluer l'exposition à cette vulnérabilité. Un attaquant capable de modifier la variable NVRAM SecureFlashCertData à l'exécution peut l'utiliser pour injecter son certificat numérique et contourner Secure Boot. Cela permet du code non signé ou malveillant de s'exécuter avant que le système d'exploitation ne charge, ce qui peut installer des logiciels malveillants persistants ou des rootkits de noyau qui survivent aux redémarrages et aux réinstallations du système d'exploitation.
Deux évasions de sécurité systématiques ont été découvertes et affectent plusieurs services d'IA générative, permettant aux attaquants de contourner les protocoles de sécurité et de générer du contenu illicite ou dangereux. La première évasion, appelée "Inception", consiste à demander à l'IA d'imaginer un scénario fictif, qui peut ensuite être adapté pour contourner les garde-fous de sécurité. La deuxième évasion consiste à demander des informations sur la manière de ne pas répondre à une requête spécifique, ce qui permet aux attaquants de basculer entre des requêtes illicites et normales. Les deux évasions utilisent presque la même syntaxe et affectent de nombreux systèmes d'IA populaires, ce qui indique une faiblesse systémique. Les fournisseurs affectés incluent OpenAI, Anthropic, Microsoft, Google, Twitter/X, Facebook, et d'autres. Ces évasions, bien que de faible gravité en elles-mêmes, peuvent être exploitées par des acteurs malveillants motivés pour commettre des actions malveillantes, telles que la génération de contenu sur des sujets illicites. La nature systémique de ces évasions augmente le risque d'attaque, et l'utilisation de services légitimes peut dissimuler une activité malveillante. Divers fournisseurs concernés ont publié des déclarations sur le problème et ont modifié leurs services pour empêcher ces évasions. Les rapporteurs, David Kuzsmar et Jacob Liddle, ont découvert ces évasions, et Christopher Cullen a rédigé le document. Ces évasions ont des implications significatives pour la sécurité et la sûreté des services d'IA.
Une vulnérabilité d'injection de commandes a été identifiée dans le Wi-Fi Test Suite, un outil développé par l'Alliance WiFi, qui a été trouvé déployé sur les routeurs Arcadyan. Le Wi-Fi Test Suite a été créé à l'origine pour soutenir les programmes de certification et la certification des appareils, mais pas pour être utilisé dans des environnements de production. Cependant, il a été découvert dans les déploiements de routeurs commerciaux, exposant une vulnérabilité dans le code de test. La vulnérabilité permet à un attaquant local non authentifié d'exploiter le Wi-Fi Test Suite en envoyant des paquets spécialement conçus, ce qui permet l'exécution de commandes arbitraires avec des privilèges root. Un attaquant peut exploiter cette vulnérabilité pour obtenir le contrôle administratif complet du dispositif affecté. Avec cet accès, l'attaquant peut modifier les paramètres du système, perturber les services réseau critiques, ou réinitialiser le dispositif entièrement. Le CERT/CC recommande aux vendeurs de mettre à jour le Wi-Fi Test Suite vers la version 9.0 ou ultérieure, ou de le supprimer complètement des appareils de production pour réduire le risque d'exploitation. La vulnérabilité a été attribuée l'identifiant CVE-2024-41992. Le CERT/CC remercie le rapporteur Noam Rathaus de SSD Disclosure pour avoir identifié la vulnérabilité. La solution recommandée vise à prévenir les interruptions de service, la compromission des données réseau et la perte potentielle de service pour tous les utilisateurs dépendant du réseau affecté.
Vulnérabilité PKfail dans UEFI : Un danger pour la sécurité du systèmeLa vulnérabilité PKfail dans l'UEFI (Unified Extensible Firmware Interface) permet aux attaquants de contourner le démarrage sécurisé (Secure Boot) en utilisant des clés de plateforme (PK) codées en dur, qui ne devraient être utilisées que pour les tests. Ces clés non fiables peuvent être incluses par inadvertance dans le firmware de production, laissant les systèmes vulnérables à des modules malveillants qui peuvent s'exécuter avec des privilèges élevés lors du démarrage.Le processus de vérification des clés dans l'UEFI est limité, permettant à des clés non fiables d'être confondues avec des clés fiables. L'absence de vérification rigoureuse et de validation basée sur les attributs permet à ces clés de contourner les mesures de sécurité.Le firmware UEFI est souvent invisible aux logiciels EDR, ce qui rend difficile la détection des clés compromises. De plus, de nombreuses implémentations UEFI manquent de capacités de mesure ou d'audit à distance.Un attaquant ayant accès à la partie privée d'une PK compromise peut signer des logiciels UEFI malveillants, ce qui conduit à l'invalidation des fonctionnalités de sécurité, à l'installation de logiciels persistants, à la création de portes dérobées et à des dommages au système.Pour atténuer cette vulnérabilité, il est essentiel de mettre à jour le firmware UEFI vers la dernière version stable fournie par le fournisseur ou le revendeur.Des outils et des informations de Binarly peuvent être utilisés pour évaluer l'impact des clés de plateforme non fiables sur les systèmes.Les mises à jour automatiques du firmware doivent être utilisées pour maintenir le firmware à jour et atténuer les risques.
Vulnérabilités dans les serveurs SMTP sortants hébergés : Spoofing de l'expéditeur et contournement de la sécuritéPlusieurs vulnérabilités dans les serveurs SMTP sortants hébergés permettent aux utilisateurs authentifiés de falsifier les informations de l'expéditeur, contournant les mesures de sécurité fournies par SPF, DKIM et DMARC. Ces vulnérabilités résultent d'une vérification insuffisante des expéditeurs authentifiés par rapport aux identités de domaine autorisées par les hébergeurs.Les enregistrements SPF identifient les réseaux IP autorisés pour l'envoi d'e-mails, tandis que DKIM fournit des signatures numériques pour vérifier le contenu spécifique des e-mails, y compris les adresses de l'expéditeur. DMARC s'appuie sur SPF et DKIM, ajoutant un lien vers le domaine de l'expéditeur et des mécanismes de reporting pour améliorer l'authentification et la protection des e-mails.CVE-2024-7208 et CVE-2024-7209 exploitent ces vulnérabilités, permettant aux attaquants authentifiés d'usurper l'identité de domaines partagés et hébergés, contournant les politiques DMARC et la vérification de l'expéditeur.Ce spoofing peut conduire à des attaques de phishing, à la distribution de logiciels malveillants et à des dommages à la réputation des propriétaires de domaines.Les hébergeurs doivent vérifier l'identité des expéditeurs authentifiés par rapport aux identités de domaine autorisées pour atténuer ces vulnérabilités.Les propriétaires de domaines doivent mettre en œuvre des politiques DMARC strictes et envisager d'utiliser des installations DKIM indépendantes pour protéger leurs identités d'expéditeur.Les expéditeurs d'e-mails nécessitant une fidélité d'identité élevée peuvent utiliser S/MIME ou PGP pour une sécurité accrue.Les chercheurs Caleb Sargent et Hao Wang sont reconnus pour avoir signalé ces vulnérabilités.
Les implémentations IPMI dans les logiciels de contrôleurs de gestion de carte mère (BMC) de plusieurs fabricants sont vulnérables au piratage de sessions IPMI.Un attaquant ayant accès au réseau BMC peut exploiter l'absence d'intégrité de session pour pirater des sessions et exécuter des commandes IPMI arbitraires sur le BMC. L'IPMI est une spécification d'interface informatique qui fournit des capacités de gestion de bas niveau et est prise en charge par de nombreux fabricants de BMC. Elle permet un accès transparent au matériel et prend en charge des fonctionnalités de pré-démarrage.Le chercheur en sécurité a découvert deux vulnérabilités liées au logiciel BMC et à la gestion des sessions, notamment une faiblesse de la randomisation et une incapacité à appliquer les paramètres de session IPMI 2.0 négociés précédemment. Ces vulnérabilités peuvent permettre à un attaquant non authentifié ayant accès au réseau BMC de prédire les ID de session IPMI et/ou les nombres aléatoires du BMC, de rejouer une session précédente ou de pirater une session IPMI. Cela peut permettre à l'attaquant d'injecter des commandes arbitraires dans le BMC et d'exécuter des fonctions à privilèges élevés.Pour corriger ces vulnérabilités, appliquez une mise à jour du fournisseur et restreignez l'accès au réseau BMC en autorisant uniquement les connexions provenant d'hôtes et de réseaux de confiance. Le chercheur en sécurité qui a signalé ces vulnérabilités souhaite rester anonyme.
Une nouvelle vulnérabilité Spectre v2 découverte, affectant les architectures CPU modernesUne nouvelle vulnérabilité Spectre v2 a été découverte, affectant les architectures CPU modernes qui prennent en charge l'exécution spéculative. Cette vulnérabilité permet à un attaquant non authentifié de fuiter de la mémoire privilégiée du CPU en effectuant un saut spéculatif vers un gadget choisi. Des recherches actuelles montrent que les techniques d'atténuation existantes, telles que la désactivation de l'eBPF privilégié et l'activation de (Fine)IBT, sont insuffisantes pour empêcher l'exploitation de BHI contre le noyau/l'hyperviseur.La vulnérabilité tire parti des chemins d'exécution spéculatifs, qui peuvent être influencés par des logiciels malveillants pour déduire des données privilégiées. Les chercheurs ont démontré qu'ils pouvaient découvrir de nouveaux gadgets exploitables dans le noyau Linux en utilisant leur outil d'analyse de gadgets, InSpectre Gadget, qui contourne les mitigations déployées par Intel.Un attaquant ayant accès aux ressources du CPU peut être en mesure de lire des données privilégiées arbitraires ou des valeurs du registre système en effectuant un saut spéculatif vers un gadget choisi. Pour résoudre cette vulnérabilité et ses variantes, les utilisateurs doivent mettre à jour leurs logiciels conformément aux recommandations des fournisseurs respectifs avec les dernières mitigations disponibles.La vulnérabilité a été découverte et signalée par Sander Wiebing, Alvise de Faveri Tron, Herbert Bos et Cristiano Giuffrida du groupe VUSec à la VU Amsterdam. Ce document a été rédigé par Dr. Elke Drennan, CISSP.
Les plateformes de processeur graphique à usage général (GPGPU) d'AMD, Apple et Qualcomm manquent d'une isolation adéquate pour la mémoire des processus, permettant aux attaquants locaux d'accéder à la mémoire d'autres processus. Cette vulnérabilité, appelée "LeftoverLocals", affecte les plateformes GPGPU qui autorisent la copie de mémoire entre le CPU et le GPU. Les attaquants ayant accès aux capacités du GPU peuvent exploiter cette vulnérabilité pour accéder à la mémoire censée être isolée des autres utilisateurs et processus. Ce problème provient de l'utilisation de la mémoire locale, un cache géré par logiciel qui peut stocker des données sensibles. Les chercheurs de Trail of Bits ont démontré la présence de la vulnérabilité dans diverses interfaces de programmation, notamment Metal, Vulkan et OpenCL, sur plusieurs systèmes d'exploitation et pilotes. Bien que les appareils NVIDIA n'aient pas été affectés lors des tests, la vulnérabilité a un impact sur les implémentations ML embarquées et de centres de données. La résolution de cette vulnérabilité nécessite une collaboration entre les fabricants de matériel, les fournisseurs de bibliothèques logicielles, les programmeurs et les organismes de normalisation. Les développeurs de logiciels GPU doivent mettre à jour leurs bibliothèques et revoir leurs applications pour la confidentialité des données. Les utilisateurs de GPU doivent appliquer les mises à jour logicielles et s'assurer que leurs appareils disposent des dernières protections de sécurité fournies par leurs fournisseurs.
Des vulnérabilités multiples ont été découvertes dans la pile TCP/IP de Tianocore EDKII (NetworkPkg), pouvant mener à l'exécution de code à distance, à un déni de service (DoS), à un empoisonnement du cache DNS ou à une fuite d'informations sensibles. Ces vulnérabilités, collectivement connues sous le nom de PixieFail, résultent de problèmes tels que le débordement de tampon, la randomisation prévisible et l'analyse incorrecte. Le code affecté est utilisé dans les implémentations de micrologiciels par divers fournisseurs. Une exploitation réussie nécessite l'activation de l'option de démarrage PXE, et l'impact dépend de la version du micrologiciel et de la configuration de démarrage PXE. Des attaquants locaux et, dans certains cas, à distance, peuvent exploiter ces vulnérabilités. Il est recommandé de désactiver le démarrage PXE, de mettre en œuvre une isolation du réseau et de déployer des déploiements de systèmes d'exploitation sécurisés. Les utilisateurs doivent consulter les avis spécifiques aux fournisseurs et appliquer les mises à jour vers la dernière version stable du micrologiciel. Les utilisateurs en aval de Tianocore EDKII doivent mettre à jour vers la dernière version contenant les correctifs. L'utilisation de pratiques de déploiement de systèmes d'exploitation sécurisés et la migration vers des environnements de démarrage réseau modernes tels que UEFI HTTPS Boot peuvent améliorer la sécurité. Quarkslab est reconnu pour avoir mené des recherches et signalé ces vulnérabilités.