因堆疊溢位導致的變數修改
漏洞披露:
本次漏洞披露旨在傳達由外部研究人員報告、可能影響 Supermicro 產品的潛在漏洞。
鳴謝:
Supermicro 謹此感謝來自中國武漢大學的研究人員,發現 X12DPG-QR 主機板中潛在的漏洞。
研究結果:
BIOS 韌體中可能發生的堆疊溢位事件,可能使攻擊者透過操縱變數來利用此漏洞,進而潛在劫持控制流。此情況將使具備核心層級權限的攻擊者得以提升其權限,最終可能導致任意程式碼執行。
CVE:
- CVE-2023-34853
- 嚴重性:高
受影響產品:
Supermicro BIOS 適用於 X11、X12、X13 以及 H11、H12、H13 主機板。
解決方案:
所有受影響的 Supermicro 主機板 SKU 都將需要進行 BIOS 更新,以緩解此潛在漏洞。
已建立更新的 BIOS 韌體以緩解此潛在漏洞。Supermicro 目前正在測試和驗證受影響的產品。請查閱發行說明以獲取解決方案。