科技媒體 bleepingcomputer 昨日(3 月 31 日)發(fā)布博文,報道稱微軟公司借助 AI 工具 Security Copilot,在 GRUB2、U-Boot 和 Barebox 三大開源引導(dǎo)程序中,發(fā)現(xiàn)了 20 個此前未知的漏洞。
IT之家注:GRUB2 是 Ubuntu 等 Linux 系統(tǒng)的默認引導(dǎo)程序。微軟本次在 GRUB2 上發(fā)現(xiàn)了 11 個漏洞,包括文件系統(tǒng)解析器的整數(shù)溢出、緩沖區(qū)溢出,以及加密比較函數(shù)的側(cè)信道攻擊風(fēng)險。
U-Boot 和 Barebox 主要用于嵌入式設(shè)備,微軟發(fā)現(xiàn) 9 個漏洞,涉及 SquashFS 等文件系統(tǒng)解析的緩沖區(qū)溢出,需物理接觸設(shè)備才能利用。
微軟警告稱,攻擊者可能利用 GRUB2 漏洞繞過 UEFI 安全啟動機制,甚至突破 BitLocker 等加密保護,植入隱蔽的惡意引導(dǎo)程序(bootkit)。一旦得逞,攻擊者可完全控制設(shè)備,操縱啟動流程和操作系統(tǒng),并滲透局域網(wǎng)內(nèi)其他設(shè)備。更嚴重的是,此類惡意軟件可能無法通過重裝系統(tǒng)或更換硬盤清除。
具體漏洞中,CVE-2025-0678(Squash4 文件讀取整數(shù)溢出)被列為高風(fēng)險(CVSS 7.8),其余為中危。微軟強調(diào),Security Copilot 不僅快速定位漏洞,還提供了修復(fù)建議,顯著提升了開源項目的補丁發(fā)布效率。受影響的 GRUB2、U-Boot 和 Barebox 已于 2025 年 2 月發(fā)布更新,用戶應(yīng)盡快升級。 
