咨询服务介绍
信息科技合规咨询
信息科技风险审计
中央企业商业秘密保护
信息安全管理体系咨询
关键风险指标KRI咨询
IT治理咨询
IT内控咨询
信息安全咨询
业务相关安全咨询
ISO20000&ISO27001体系整合咨询
IT服务管理咨询
业务连续性咨询
IT审计服务
专业安全技术服务
谷安在线咨询服务
金融行业解决方案
通信行业解决方案
央企解决方案
开发安全解决方案
其他行业解决方案
金融行业
通信行业
央企与政府
其他行业
研究创新
业内动态
在线研讨
现场研讨
公司简介
专业资质
优势说明
团队操守
招贤纳士
联系我们
主板固件漏洞被企业忽略 成攻击者天堂
一篇新的研究论文表示,由于对计算机BIOS(基本输入输出系统)和UEFI(统一可扩展固件接口)固件漏洞打补丁的忽略,数以千万计的企业处于危险之中。
BIOS和UEFI中的代码大量的复用,这意味着感染BIOS是非常可行的,并且能够自动化。
对计算机主板固件的利用,在攻击者眼中是一个天堂。它可以在计算机启动时安装恶意软件,而且无影无形,哪怕你无数次重装系统也无济于事。这种情况的出现主要照片于大多数企业或机构对BIOS相关漏洞打补丁的漠视,为了提醒业界,论文的作者,研究人员科华与凯伦伯格还提供了POC(概念性验证)代码。(回复“bios”获得论文下载地址)
“我们希望唤起对这些问题的关注,至少可以让机构采取最低的措施把厂商已经做好的补丁打上。”研究人员还表示,用户应该对那些漠视给固件打补丁的供应商施加压力。
科华和凯伦伯格还批评了人们对固件更新失败的担心。“我们检查过成千上万的BIOS更新,没有一例失败。它们任何其他补丁管理软件中的可执行程序一样。”
两位研究人员当下正在直接地与一些计算机厂商合作,如戴尔和联想,以加快对底层漏洞的发现和修补。发现固件中的漏洞之后,研究人员会给厂商约一年的时间修补,然后再公布漏洞信息。
E-mail:market@gooann.com
Fax:010-51626887-816
京ICP备13013886号-9 Copyright © 2012-2018 谷安天下 All Rights Reserved