Vulnérabilités UEFI et BIOS

Le par  |  10 commentaire(s)
UEFI-logo

L'US-CERT publie trois notes de sécurité concernant des vulnérabilités dans des systèmes UEFI ainsi que pour le BIOS de certains chipsets Intel.

Rattaché au Département de la Sécurité Intérieure des États-Unis, l'US-CERT a mis en ligne trois avis de sécurité concernant des vulnérabilités découvertes dans des systèmes UEFI et le BIOS de certains chipsets Intel. Des vulnérabilités qui touchent donc un élément critique utilisé lors du démarrage d'un ordinateur.

EM8621L chipset (Small)Une vulnérabilité peut permettre à un attaquant de passer outre la fonctionnalité de lancement sécurisé Secure Boot de l'UEFI qui vérifie via des signatures numériques l'authenticité de tous les éléments durant la séquence de démarrage. Elle avait été introduite au moment de la sortie de Windows 8.

Pour des systèmes vulnérables, l'accès à un script d'initialisation n'est pas correctement restreint. L'avis de sécurité indique qu'un attaquant local authentifié peut contourner Secure Boot et / ou exécuter une reprogrammation du micrologiciel du système d'exploitation, même si des mises à jour firmware signées sont supposées être utilisées.

Des fabricants concernés comme American Megatrends Incorporated (AMI), Intel et Phoenix Technologies ont pris des mesures correctrices.

Toujours pour l'UEFI, un autre avis de sécurité concerne une vulnérabilité de dépassement de mémoire tampon mais au niveau d'une implémentation open source EDK1 et pour laquelle les conséquences d'une exploitation sont variables. À ce jour, seuls les systèmes de Insyde Software Corporation ont été affectés (le problème a été corrigé). C'est l'incertitude pour d'autres fabricants.

Un troisième avis de sécurité porte sur une vulnérabilité dans des chipsets Intel permettant de contourner un mécanisme de verrouillage BIOS afin d'insérer du code malveillant dans le micrologiciel. Étant concernés, AMI et Phoenix Technologies ont corrigé la faille et travaillent avec des OEMs pour fournir une mise à jour du code.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1826976
eh mdr bientôt on serat infecter sans allumer l ordi
Le #1826977
Putain, avec le bon vieux bios on n'entendait jamais parler de "faille de sécurité"..... bon d'un autre coté les problèmes sur uefi viennent exclusivement de ce "secure boot" de daube alors.....

Le #1826978
C'est évident que l'UEFI offre un potentiel de nuisances inégalé pour les hackers et que ça finira par devenir un problème majeur.
Le #1826980
D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien
Le #1826984
Mouhai, je trouve qu'on a perdu en sécurité ce qu'on a gagné en ergonomie...

Pas sûr que ce soit le bon compromis pour l'utilisateur...
Anonyme
Le #1827017
Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...
Le #1827024
Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.
Anonyme
Le #1827032
penseurodin a écrit :

Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.


Oui et ???
Le #1827038
Arobase40 a écrit :

penseurodin a écrit :

Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.


Oui et ???


Et surprise, devine qui vient merder ce soir.
Anonyme
Le #1827042
penseurodin a écrit :

Arobase40 a écrit :

penseurodin a écrit :

Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.


Oui et ???


Et surprise, devine qui vient merder ce soir.


Microchi**te ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]