UEFI EDK1缓冲区溢出漏洞(CVE

UEFI EDK1缓冲区溢出漏洞(CVE-2014-8271)

发布日期:2015-01-01
更新日期:2015-01-06

受影响系统:
Insyde Insyde
描述:
CVE(CAN) ID: CVE-2014-8271

EDK1是一个开源的项目,提供了统一可扩展固件接口(UEFI)的参考实现。商业UEFI实现合并了部分EDK1源码。

Edk1/source/Sample/Universal/Variable/RuntimeDxe/FS/FSVariable.c源文件在实现上存在缓冲区溢出漏洞,UEFI使用了多个非易失性变量在操作系统及固件之间通讯。这些变量保存在SPI闪存芯片上类文件系统的区域。该文件系统支持许多操作。在"reclaim"操作中存在缓冲区溢出漏洞,CurrPtr可以超越变量区域的合法边界,导致内存破坏。该漏洞的影响大小取决于有漏洞的代码被实体化的早晚。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/4d21012d73351da4929001264ea4d3da.html