Seis vulnerabilidades críticas no U-Boot podem permitir ataques de firmware
Seis vulnerabilidades foram descobertas no U-Boot, um dos bootloaders de código aberto mais utilizados globalmente, que podem permitir a execução de código malicioso durante o processo de inicialização de dispositivos. O U-Boot é amplamente encontrado em dispositivos Linux embarcados, como controladores de gerenciamento de placa-mãe (BMCs), equipamentos de rede e dispositivos IoT. As falhas, identificadas pela empresa de segurança Binarly, variam de negação de serviço (DoS) a execução arbitrária de código, comprometendo a segurança antes mesmo do sistema operacional ser carregado. Dentre as vulnerabilidades, duas podem permitir a execução de código arbitrário, enquanto as outras quatro podem causar falhas nos dispositivos. A exploração dessas falhas pode ocorrer sem acesso físico, especialmente em sistemas que suportam atualizações de firmware remotas. Embora a Binarly tenha reportado as vulnerabilidades e enviado patches, a implementação das correções depende dos fabricantes de hardware, o que pode deixar dispositivos mais antigos sem proteção. A natureza crítica dessas falhas exige atenção imediata das equipes de segurança, pois podem resultar em malware persistente e comprometimento de sistemas antes da inicialização do sistema operacional.
