I+principali+produttori+di+pc+sono+nei+guai%3A+trovate+almeno+23+falle+nei+loro+prodotti%2C+ecco+i+rischi+in+attesa+di+una+patch
computermagazineit
/2022/02/05/i-principali-produttori-di-pc-sono-nei-guai-trovate-almeno-23-falle-nei-loro-prodotti-ecco-i-rischi-in-attesa-di-una-patch/amp/
News

I principali produttori di pc sono nei guai: trovate almeno 23 falle nei loro prodotti, ecco i rischi in attesa di una patch

Sono ben 23 le falle scoperte dai ricercatori di Binarly, un’azienda che si occupa della protezione dei firmware. Come scrive Hwupgrade.it, sono venute a galla delle vulnerabilità critiche precisamente in InsydeH2O, un framework che viene utilizzato da molte aziende ed in particolare da colossi della tecnologia e dei computer come Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel e Bull Atos per realizzare l’UEFI dei propri dispositivi.

Falle pc, 4/2/2022 – Computermagazine.it

L’Uefi non è una federazione calcistica ma è semplicemente l’acronimo di Unified Extensible Firmware Interface, ovvero un’interfaccia fra il firmware di un determinato dispositivo e il sistema operativo dello stesso, e permette la gestione del processo di avvio, la diagnostica e le funzioni di riparazione. Come detto in apertura, gli ingegneri di Binarly hanno trovato ben 23 falle in totale nel codice di InsydeH2O, e la maggior parte di esse è stata localizzata nel System Management Mode (SMM) che si occupa di funzioni come la gestione energetica e il controllo dell’hardware.

Falle pc, 4/2/2022 – Computermagazine.it

SCOPERTE 23 FALLE NEL FRAMEWORK INSYDEH20: ECCO TUTTI I DETTAGLI

“I privilegi di SMM – scrive a riguardo Hwupgrade.it – sono superiori rispetto a quelli del kernel del sistema operativo, quindi qualsiasi problema di sicurezza che interessa SMM può avere gravi ripercussioni per il dispositivo vulnerabile”. Di conseguenza, giusto per capire cosa potrebbe accadere di dannoso, un malintenzionato, sia in locale quanto da remoto, con dei privilegi amministrativi, potrebbe sfruttare tali falle per invalidare diverse funzionalità hardware come ad esempio SecureBoot, Intel Boot Guard, ecc., ma anche installare dei malware che non potranno essere cancellati, quindi reinstallare il sistema operativo e creare anche dei backdoor, delle “porte nascoste”, attraverso cui rubare dei dati sensibili della persona hackerata a sua insaputa.

Le 23 falle scoperte sono tracciate con i seguenti codici CVE: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069. Le più critiche risultano essere quelle relative a SMM, leggasi CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971, e sono accompagnate da un punteggio pari a 9.8 su 10. Inoltre, delle 23 falle scoperte, dieci potrebbero essere sfruttate per ottenere maggiori privilegi, mentre dodici corrompono la memoria in SMM, e una, infine, la memoria nel Driver eXecution Environment (DXE) di InsydeH2O. Il report di Binarly spiega a riguardo: “La causa principale del problema è stata rintracciata nel codice di riferimento associato al codice del framework per i firmware InsydeH2O. Tutti i suddetti fornitori (oltre 25) utilizzavano l’SDK basato su Insyde per sviluppare le loro parti di firmware (UEFI)”. Insyde Software ha già rilasciato aggiornamenti per sistemare i vari problemi emersi.

Roberto Mazzucchelli

Recent Posts

Google Maps Rivela un Antico Cratere Meteoritico: La Scoperta di un Tesoro Dimenticato

Scoprire un antico cratere meteoritico con Google Maps? Questo articolo esplora come una semplice occhiata…

1 ora ago

Declino di SpaceX Post-IPO: Il Cruciale Test della Starship Mette gli Investitori in Allerta

Questo articolo esplora le implicazioni del prossimo test di Starship di SpaceX per gli investitori,…

1 giorno ago

Samsung Rinnova la Linea Bespoke: Lavatrici e Asciugatrici Intelligenti per un Lavaggio Ottimizzato e Consumi Ridotti

La nuova linea Samsung Bespoke offre lavatrici e asciugatrici intelligenti che promettono efficienza, risparmio energetico…

2 giorni ago

Interruzione del Servizio Spotify il 14 Luglio 2026: Dettagli e Aggiornamenti sul Problema Risolto

Il 14 luglio 2026, Spotify ha subito un'interruzione del servizio che ha lasciato migliaia di…

3 giorni ago

Viessmann Rende le Pompe di Calore più Intelligenti con il Lancio di Vitocal 200-A

Scopri come la pompa di calore Vitocal 200-A di Viessmann può migliorare l'efficienza energetica domestica,…

4 giorni ago

Mistero sulla NVIDIA Shield TV base: Esaurita e Incerta la sua Futura Disponibilità

La NVIDIA Shield TV base è introvabile nei negozi, alimentando speculazioni su un possibile cambio…

5 giorni ago