近日,科技新聞界傳來重要消息,知名科技媒體bleepingcomputer披露了一項由微軟公司借助AI工具Security Copilot所取得的重大安全發現。據悉,該工具在三大開源引導程序——GRUB2、U-Boot以及Barebox中,共揭示了20個先前未知的安全漏洞。
GRUB2,作為Ubuntu等眾多Linux系統的默認引導程序,在此次檢測中尤為引人注目。微軟通過Security Copilot在GRUB2中發現了多達11個漏洞,涵蓋文件系統解析器的整數溢出、緩沖區溢出問題,以及加密比較函數可能面臨的側信道攻擊風險。這些漏洞的存在,無疑為系統的安全性蒙上了一層陰影。
與此同時,U-Boot和Barebox兩大主要用于嵌入式設備的引導程序也未能幸免。微軟在它們身上共發現了9個漏洞,主要涉及SquashFS等文件系統解析的緩沖區溢出問題。值得注意的是,這些漏洞的利用通常需要物理接觸設備,從而在一定程度上限制了攻擊的范圍。
微軟方面對此發出了嚴正警告,指出攻擊者若成功利用GRUB2中的漏洞,不僅能夠繞過UEFI安全啟動機制,甚至可能突破BitLocker等加密保護,植入難以察覺的惡意引導程序(bootkit)。一旦攻擊得手,攻擊者將能夠全面控制受感染設備,操縱啟動流程和操作系統,進而對局域網內的其他設備構成嚴重威脅。更為棘手的是,此類惡意軟件一旦扎根,往往難以通過簡單的重裝系統或更換硬盤來徹底清除。
在曝光的漏洞中,CVE-2025-0678(Squash4文件讀取整數溢出)因其潛在的高風險性(CVSS評分為7.8)而備受關注,其余漏洞則被視為中危級別。不過,微軟也強調指出,Security Copilot不僅具備快速定位漏洞的能力,還能夠提供切實可行的修復建議,從而大大提高了開源項目補丁發布的效率。
目前,受影響的GRUB2、U-Boot和Barebox已經于2025年2月發布了更新補丁。微軟方面敦促所有用戶盡快升級至最新版本,以確保系統的安全性不受影響。這一事件再次提醒我們,在數字化轉型日益加速的今天,信息安全問題不容忽視,必須時刻保持警惕。
