近日,科技新闻界传来重要消息,知名科技媒体bleepingcomputer披露了一项由微软公司借助AI工具Security Copilot所取得的重大安全发现。据悉,该工具在三大开源引导程序——GRUB2、U-Boot以及Barebox中,共揭示了20个先前未知的安全漏洞。
GRUB2,作为Ubuntu等众多Linux系统的默认引导程序,在此次检测中尤为引人注目。微软通过Security Copilot在GRUB2中发现了多达11个漏洞,涵盖文件系统解析器的整数溢出、缓冲区溢出问题,以及加密比较函数可能面临的侧信道攻击风险。这些漏洞的存在,无疑为系统的安全性蒙上了一层阴影。
与此同时,U-Boot和Barebox两大主要用于嵌入式设备的引导程序也未能幸免。微软在它们身上共发现了9个漏洞,主要涉及SquashFS等文件系统解析的缓冲区溢出问题。值得注意的是,这些漏洞的利用通常需要物理接触设备,从而在一定程度上限制了攻击的范围。
微软方面对此发出了严正警告,指出攻击者若成功利用GRUB2中的漏洞,不仅能够绕过UEFI安全启动机制,甚至可能突破BitLocker等加密保护,植入难以察觉的恶意引导程序(bootkit)。一旦攻击得手,攻击者将能够全面控制受感染设备,操纵启动流程和操作系统,进而对局域网内的其他设备构成严重威胁。更为棘手的是,此类恶意软件一旦扎根,往往难以通过简单的重装系统或更换硬盘来彻底清除。
在曝光的漏洞中,CVE-2025-0678(Squash4文件读取整数溢出)因其潜在的高风险性(CVSS评分为7.8)而备受关注,其余漏洞则被视为中危级别。不过,微软也强调指出,Security Copilot不仅具备快速定位漏洞的能力,还能够提供切实可行的修复建议,从而大大提高了开源项目补丁发布的效率。
目前,受影响的GRUB2、U-Boot和Barebox已经于2025年2月发布了更新补丁。微软方面敦促所有用户尽快升级至最新版本,以确保系统的安全性不受影响。这一事件再次提醒我们,在数字化转型日益加速的今天,信息安全问题不容忽视,必须时刻保持警惕。
