Vulnérabilités UEFI et BIOS

Le par Jérôme G.  |  10 commentaire(s)
UEFI-logo

L'US-CERT publie trois notes de sécurité concernant des vulnérabilités dans des systèmes UEFI ainsi que pour le BIOS de certains chipsets Intel.

Rattaché au Département de la Sécurité Intérieure des États-Unis, l'US-CERT a mis en ligne trois avis de sécurité concernant des vulnérabilités découvertes dans des systèmes UEFI et le BIOS de certains chipsets Intel. Des vulnérabilités qui touchent donc un élément critique utilisé lors du démarrage d'un ordinateur.

EM8621L chipset (Small)Une vulnérabilité peut permettre à un attaquant de passer outre la fonctionnalité de lancement sécurisé Secure Boot de l'UEFI qui vérifie via des signatures numériques l'authenticité de tous les éléments durant la séquence de démarrage. Elle avait été introduite au moment de la sortie de Windows 8.

Pour des systèmes vulnérables, l'accès à un script d'initialisation n'est pas correctement restreint. L'avis de sécurité indique qu'un attaquant local authentifié peut contourner Secure Boot et / ou exécuter une reprogrammation du micrologiciel du système d'exploitation, même si des mises à jour firmware signées sont supposées être utilisées.

Des fabricants concernés comme American Megatrends Incorporated (AMI), Intel et Phoenix Technologies ont pris des mesures correctrices.

Toujours pour l'UEFI, un autre avis de sécurité concerne une vulnérabilité de dépassement de mémoire tampon mais au niveau d'une implémentation open source EDK1 et pour laquelle les conséquences d'une exploitation sont variables. À ce jour, seuls les systèmes de Insyde Software Corporation ont été affectés (le problème a été corrigé). C'est l'incertitude pour d'autres fabricants.

Un troisième avis de sécurité porte sur une vulnérabilité dans des chipsets Intel permettant de contourner un mécanisme de verrouillage BIOS afin d'insérer du code malveillant dans le micrologiciel. Étant concernés, AMI et Phoenix Technologies ont corrigé la faille et travaillent avec des OEMs pour fournir une mise à jour du code.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
josedeco offline Hors ligne Héroïque avatar 661 points
Le #1826976
eh mdr bientôt on serat infecter sans allumer l ordi
KAISER59 offline Hors ligne VIP icone 9193 points
Le #1826977
Putain, avec le bon vieux bios on n'entendait jamais parler de "faille de sécurité"..... bon d'un autre coté les problèmes sur uefi viennent exclusivement de ce "secure boot" de daube alors.....

penseurodin offline Hors ligne VIP avatar 11090 points
Le #1826978
C'est évident que l'UEFI offre un potentiel de nuisances inégalé pour les hackers et que ça finira par devenir un problème majeur.
Ulysse2K away Absent VIP icone 48024 points
Le #1826980
D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien
lebonga offline Hors ligne VIP avatar 31709 points
Le #1826984
Mouhai, je trouve qu'on a perdu en sécurité ce qu'on a gagné en ergonomie...

Pas sûr que ce soit le bon compromis pour l'utilisateur...
Anonyme
Le #1827017
Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...
penseurodin offline Hors ligne VIP avatar 11090 points
Le #1827024
Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.
Anonyme
Le #1827032
penseurodin a écrit :

Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.


Oui et ???
penseurodin offline Hors ligne VIP avatar 11090 points
Le #1827038
Arobase40 a écrit :

penseurodin a écrit :

Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.


Oui et ???


Et surprise, devine qui vient merder ce soir.
Anonyme
Le #1827042
penseurodin a écrit :

Arobase40 a écrit :

penseurodin a écrit :

Arobase40 a écrit :

Ulysse2K a écrit :

D'un autre côté, le principe de l'UEFI est louable mais il manque cruellement de maturité. Je crois qu'il faut attendre un peu (histoire d'avoir un retour d'expérience) pour voir si "oui ou non" il risque de nous faire plus de tort que de bien


D'un autre côté c'est pas comme si on ne s'y attendait pas !!! C'était juste une question de temps qui n'est pas loin d'arriver...

Dès que Microsoft fourre son nez quelque part, ça tourne rapidement en vrille...


Tu es un peu optimiste, ça sera une surprise pour l'immense majorité des gens. Le jour ou des PCs seront transformés en brique par millions, ça va foutre un tel bordel que ça va faire la une des infos pendant des mois.


Oui et ???


Et surprise, devine qui vient merder ce soir.


Microchi**te ?
icone Suivre les commentaires
Poster un commentaire