重大安全漏洞影响多家知名科技公司

重点摘要

根据 SiliconAngle 的报道，Intel、American Megatrends 和 Phoenix Technologies 受到了广泛使用的统一可扩展固件接口UEFI固件 TianoCore EDK II 列为 PixieFail 的九个漏洞的影响。这些漏洞可能被利用来进行 拒绝服务攻击、数据泄露和 DNS 缓存中毒。利用这些漏洞的攻击需要激活 PXE 启动选项，也可能影响微软、谷歌、亚马逊网络服务、Arm、思科系统、戴尔、惠普企业以及惠普和联想等公司。研究人员指出，PixieFail 的严重性取决于漏洞 UEFI 实例的默认 PXE 启动配置和固件版本。

组织利用受影响的 UEFI 软件被敦促立即升级其固件并启用安全启动，同时如果不需要的话要禁用 PXE 启动选项。研究人员还建议实施 DHCP Snooping 和动态 ARP 检查，以及 UEFI HTTPS 启动。

漏洞详情

影响公司可能的攻击方式Intel拒绝服务攻击、数据泄露、DNS缓存中毒Microsoft拒绝服务攻击、数据泄露Google拒绝服务攻击、数据泄露Amazon拒绝服务攻击、数据泄露Arm拒绝服务攻击、数据泄露Cisco Systems拒绝服务攻击、数据泄露Dell拒绝服务攻击、数据泄露惠普企业拒绝服务攻击、数据泄露HP拒绝服务攻击、数据泄露联想拒绝服务攻击、数据泄露

建议步骤

立即升级：所有受影响的组织应迅速升级其固件。启用安全启动：确保启用 Secure Boot 选项。禁用 PXE 启动：如果PXE启动选项没有必要，请将其禁用。实施网络安全措施：DHCP Snooping动态 ARP 检查UEFI HTTPS 启动

结论

随着科技公司面临日益增加的网络安全威胁，及时修复固件漏洞和提升整体安全性成为了首要任务。组织应立即采取行动，确保其系统不受这些漏洞的影响，以保护敏感数据和企业资产。

clash apk

欲了解更多信息，请访问 IEEE Xplore 和 NIST 了解网络安全最佳实践。