Rattaché au Département de la Sécurité Intérieure des États-Unis, l'US-CERT a mis en ligne trois avis de sécurité concernant des vulnérabilités découvertes dans des systèmes UEFI et le BIOS de certains chipsets Intel. Des vulnérabilités qui touchent donc un élément critique utilisé lors du démarrage d'un ordinateur.
Pour des systèmes vulnérables, l'accès à un script d'initialisation n'est pas correctement restreint. L'avis de sécurité indique qu'un attaquant local authentifié peut contourner Secure Boot et / ou exécuter une reprogrammation du micrologiciel du système d'exploitation, même si des mises à jour firmware signées sont supposées être utilisées.
Des fabricants concernés comme American Megatrends Incorporated (AMI), Intel et Phoenix Technologies ont pris des mesures correctrices.
Toujours pour l'UEFI, un autre avis de sécurité concerne une vulnérabilité de dépassement de mémoire tampon mais au niveau d'une implémentation open source EDK1 et pour laquelle les conséquences d'une exploitation sont variables. À ce jour, seuls les systèmes de Insyde Software Corporation ont été affectés (le problème a été corrigé). C'est l'incertitude pour d'autres fabricants.
Un troisième avis de sécurité porte sur une vulnérabilité dans des chipsets Intel permettant de contourner un mécanisme de verrouillage BIOS afin d'insérer du code malveillant dans le micrologiciel. Étant concernés, AMI et Phoenix Technologies ont corrigé la faille et travaillent avec des OEMs pour fournir une mise à jour du code.
