UEFI 安全启动遭突破,高危漏洞 CVE-2025-3052 威胁数百万PC
发布时间:2025-11-04 19:23:26 来源:技术快报 作者:IT科技
-
漏洞概况
网络安全研究机构BINARLY发现了一个影响UEFI安全启动机制的安全高危漏洞(CVE-2025-3052),该漏洞CVSS评分为8.2分。启动该漏洞源于一个经微软第三方UEFI证书签名的遭突易受攻击UEFI应用程序,该证书使其在大量设备上获得受信任状态。破高
该可被恶意利用的危漏威胁万组件名为Dtbios-efi64-71.22.efi,由微软UEFI CA 2011密钥签名。数百漏洞存在于应用程序对名为"IhisiParamBuffer"的安全NVRAM变量的错误处理中——该模块会盲目执行来自该缓冲区的多次内存写入。
BINARLY在报告中解释:"攻击者可以在IhisiParamBuffer NVRAM变量中存储任意内存地址,启动当模块运行时,遭突将执行攻击者控制的破高写入操作。"
攻击原理在研究人员的危漏威胁万概念验证中,亿华云计算展示了具有操作系统级权限的数百本地攻击者如何覆写指向gSecurity2结构的指针——这是执行安全启动检查的关键组件。通过在启动序列中将此指针清零,安全攻击者可以完全禁用安全启动,启动从而执行未签名的遭突UEFI模块(如bootkit或早期阶段恶意软件)。
BINARLY表示:"这个PoC展示了攻击者如何绕过安全启动,在无需用户交互或物理接触设备的情况下加载不受信任的代码。"
影响范围该签名UEFI二进制文件已在VirusTotal上被发现,由于微软的签名而被广泛信任。BINARLY指出,任何信任微软UEFI CA 2011证书的源码下载系统都可能受到影响——这包括绝大多数启用了安全启动的现代Windows和Linux机器。
不过,利用成功率可能因硬件实现而异。例如,使用Insyde BIOS的设备可能会限制NVRAM变量操作,从而略微减少攻击面——除非与第二个漏洞结合使用。
缓解措施BINARLY建议采取以下措施:
通过将其Authenticode哈希添加到UEFI撤销列表(dbx数据库)来撤销易受攻击的EFI二进制文件从应用程序中移除易受攻击的代码,防止用户控制的NVRAM变量执行任意写入审查固件中的NVRAM保护措施,特别是影响引导加载程序行为的变量- 电脑网络连接错误678的解决方法(探寻网络错误678的原因和解决方案)
- 本教程适用于在自己的电脑上安装了 Ubuntu 15.04 “vivid Vervet” 桌面的新手,这里会告诉你安装之后应该做哪些事情,来自定义你的系统和安装一些基本程序作为日常使用。安装完Ubuntu 15.04桌面后要做的15件事1. 启用Ubuntu额外软件库并更新系统在刚装好Ubuntu之后你应该要关心的第一件事是启用Canonical的官方合作伙伴提供的Ubuntu额外软件库,并且通过最近一次的安全补丁和软件更新来保持系统是最新状态。要完成这一步,依次从左边菜单中打开System Settings ->Software and Updates工具,并检查所有Ubuntu软件和其他软件库(Canonical 的合作伙伴所提供),点击关闭按钮并等待重新加载缓存源树。软件更新其它软件(Canonical 合作伙伴)为了快速而顺畅的更新,打开终端并输入以下命令来让系统使用新软件库:$ sudo apt-get update$ sudo apt-get upgradeUbuntu 升级2. 安装额外驱动为了能让系统扫描并安装额外的硬件专有驱动,我们依然从System Settings打开Software and Updates工具,选择Additional Drivers标签并等待该工具扫描驱动。假如有驱动匹配到了你的硬件,查看你想要安装的驱动并点击Apply按钮来安装它。假如专有驱动没有如预期的工作,用Revert按钮就能卸载它们或勾选Do not use the device后点击Apply按钮。安装驱动3. 安装Synaptic和Gdebi工具除了Ubuntu Software Center之外,Synaptic也是一个apt的图形化工具,通过它你能管理、安装、卸载、搜索和升级软件库并配置软件包。同样的,Gdebi对本地的.deb 包也有类似功能。在终端上输入以下命令来安装这两个包:$ sudo apt-get install synaptic gdebi安装 Synaptic 和 GdebiSynaptic 包管理器4. 更改系统外观和行为假如你想要更改桌面背景或图标大小,依次打开System Settings –>Appearance –>Look,并对桌面进行个性化设置。要把菜单移动到窗口标题栏,在Behavior标签中设置即可。系统外观5. 提升系统安全性和隐私性增强系统安全系统安全选项6. 禁用不需要开机自启动的应用程序要提高登录系统的速度,通过输入以下命令来显示被隐藏的开机启动应用程序。$ sudo sed -i s/NoDisplay=true/NoDisplay=false/g /etc/xdg/autostart/*.desktop在Dash中搜索打开Startup Applications工具,并反选不需要在登录系统的过程中启动的程序。禁用不需要的应用程序7. 添加扩展多媒体支持默认情况下,Ubuntu对多媒体文件支持不是很好。为了能播放各种不同的多媒体格式或解析视频文件,可以安装以下多媒体应用程序:VLCSmplayerAudaciousQMMPMixxxXBMCHandbrakeOpenshot用以下命令来一次性安装所有的这些应用程序:$ sudo apt-get install vlc smplayer audacious qmmp mixxx xbmc handbrake openshot安装媒体播放器媒体播放器的播放列表除了多媒体播放器,安装ubuntu-restricted-extras和Java支持包也可以解码并支持其它受限制的多媒体格式。$ sudo apt-get install ubuntu-restricted-extras openjdk-8-jdk安装 Ubuntu Extras在终端上输入以下命令来启用DVD 回放和其它多媒体解码器:$ sudo apt-get install ffmpeg gstreamer0.10-plugins-bad lame libavcodec-extra$ sudo /usr/share/doc/libdvdread4/install-css.sh启用视频解码器8. 安装图像处理应用程序和安装媒体烧录软件假如你是一个摄影爱好者,想在Ubuntu上处理调整图像,或许需要安装一下图像处理程序:GIMP (一个 Adobe Photoshop 替代品)DarktableRawtherapeePintaShotwellInkscape (一个 Adobe Illustrator 替代品)DigikamCheese这些应用程序能从Ubuntu Software Center中安装,或者立刻在终端上使用以下命令:$ sudo apt-get install gimp gimp-plugin-registry gimp-data-extras darktable rawtherapee pinta shotwell inkscape安装图像处理应用程序Rawtherapee Tool假如要挂载ISO镜像或烧录一张CD或DVD,你可以选择并安装以下软件中的一款:Brasero Disk BurnerK3bXfburnFurius ISO Mount$ sudo apt-get install brasero $ sudo apt-get install k3b $ sudo apt-get install xfburn $ sudo apt-get install furiusisomount安装媒体烧录软件9. 安装压缩应用程序假如要处理大多数归档格式的文件(zip, tar.gz, zip, 7zip rar等等),输入以下命令来安装这些包:$ sudo apt-get install unace unrar zip unzip p7zip-full p7zip-rar sharutils rar uudeview mpack arj cabextract file-roller安装压缩应用程序10. 安装聊天应用程序假如你想要和世界各地的人们聊天,这里有一份最流行的Linux聊天应用程序列表:PidginSkypeXchatTelegramaMSNViber你可以从Ubuntu Software Center中安装它们或使用以下命令:$ sudo apt-get install pidgin$ sudo apt-get install skype$ sudo apt-get install xchat$ sudo apt-get install amsn$ sudo add-apt-repository ppa:atareao/telegram -y$ sudo apt-get update$ sudo apt-get install telegram安装聊天应用程序想要在Ubuntu上安装Viber可以访问Viber官方网站下载Debian安装包到本地,并用Gdebi包管理工具来安装viber.deb应用程序(右击 –>打开 ->GDebi Package Installer).安装 Viber11. 安装种子软件在Ubuntu最流行的种子应用程序和P2P文件共享程序是:DelugeTransmissionQbittorrentLinuxDC++想要在Ubuntu上安装你最喜欢的P2P文件共享应用程序,可以在终端上输入以下命令:$ sudo apt-get install deluge$ sudo apt-get install transmission$ sudo apt-get install qbittorrent$ sudo apt-get install linuxdcpp安装种子软件12. 安装Windows仿真器-Wine和游戏支持平台-SteamWine仿真器允许你在Linux上安装并运行Window应用程序。在另一方面,Steam是一款Valve开发的基于Linux系统的流行游戏平台。想要在你的机器上安装它们,可以输入以下命令或使用Ubuntu Software Center。$ sudo apt-get install steam wine winetricks安装 Wine13. 安装Cairo-Dock并启用桌面视觉效果Cairo-Dock是一款漂亮且灵巧的用于Linux桌面上的启动条,类似于Mac OS X dock。想要在Ubuntu上安装它,可以在终端上运行以下命令:$ sudo apt-get install cairo-dock cairo-dock-plug-ins安装Cairo-Dock让 Cairo Dock 自动启动想要启用某一套桌面效果,例如Cube效果,可以使用以下命令来安装Compiz包:$ sudo apt-get install compiz compizconfig-settings-manager compiz-plugins-extra想要激活桌面Cube效果,在Dash上查找ccsm来打开CompizConfig Settings Manager,找到General Options – >Desktop Size并设置Horizontal Virtual Size的值为4,Vertical Virtual Size的值为1。然后返回检查Desktop Cube框(禁用Desktop Wall)和Rotate Cube框(解决冲突 ->禁止切换视图1)并Ctrl+Alt+鼠标左击来查看cube效果。启用CompizCompiz设置Compiz设置插件桌面窗口旋转14. 添加其它浏览器Ubuntu 15.04默认浏览器是Mozilla Firefox。想要安装其它浏览器比如Google Chrome或Opera,可以访问它们的官方网站,下载所提供的.deb包并用Gdebi Package Installer在你的系统上安装它们。启用浏览器支持Opera Browser想要安装Chromium开源浏览器请在终端上输入以下命令:$ sudo apt-get install chromium-browser15. 安装Tweak工具想要用额外的应用程序来自定义Ubuntu吗?在终端上输入以下命令来安装Unity Tweak工具和Gnome Tweak工具:$ sudo apt-get install unity-tweak-tool gnome-tweak-tool安装Tweak ToolTweak Tool 设置另一个有趣的tweak工具主要是Ubuntu Tweak包,可以通过访问官方网站来获取并安装: http://ubuntu-tweak.com/。Tweak Tool: 系统信息在你安装好这一连串软件之后,你或许想要清理一下你的系统来释放一点硬盘上的空间,输入以下命令即可:$ sudo apt-get -y autoremove $ sudo apt-get -y autoclean $ sudo apt-get -y clean这只是一些普通用户日常使用Ubuntu 15.04桌面是需要调整和安装的程序。想要了解更多高级的程序,特性和功能,请使用Ubuntu Software Center或查阅Ubuntu Wiki主页。
- 快速查找电脑中的正在共享的文件 关闭文件共享的方法
- 快速查找电脑中的正在共享的文件 关闭文件共享的方法
- 电脑玉雕创作教程(掌握玉雕电脑雕刻技术的关键步骤)
- windows 7如何判断CPU温度过高?判断CPU温度过高的方法
- windows 7下屏蔽(禁用)鼠标滚轮就是中间那个可以自由滚动的轮
- windows 7系统电脑开机的时候怎么把加载信息列出来
- 手机进水了怎么办?(教你快速排水的方法,让手机重获新生!)
- windows 7系统怎样修复磁盘错误?自动和手动修复磁盘的方法
- 如何在平板电脑上实现双开手游?(教程详解及实用技巧)
- windows 7如何设置桌面壁纸全屏显示?windows 7桌面壁纸全屏显示
- 巧用windows 7主题切换壁纸功能定时工作提醒掌握时间
- windows 7系统安装软件时IE提示禁止安装无效签名怎么办?
- 电脑主板硬盘的分区教程(轻松学会电脑主板硬盘分区技巧)
- windows 7电脑桌面上的快捷方式图标都变成相同且打不开
- windows 7开机自动跳出desktop.ini记事本怎么办?Desktop.ini删
- 利用Windows Easy Transfer解决升级Win 7的难题
- 电脑系统升级指南(轻松提升电脑速度,享受高效办公)
- windows 7系统桌面创建本地连接快捷方式的方法
随便看看
企商汇源码下载IT资讯网益华科技亿华云IT技术网源码库服务器租用香港云服务器多维IT资讯益强编程堂IT资讯网益强智囊团码力社亿华云云站无忧技术快报全栈开发科技前瞻益华科技益强资讯优选亿华科技云智核创站工坊益强科技益强前沿资讯益强科技益华IT技术论坛益强编程舍益华科技亿华智慧云益强数据堂编程之道益强智未来汇智坊益强IT技术网运维纵横思维库亿华云计算亿华互联智能时代极客编程亿华灵动码上建站
- Copyright © 2025 Powered by UEFI 安全启动遭突破,高危漏洞 CVE-2025-3052 威胁数百万PC,技术快报 滇ICP备2023006006号-46sitemap