Analytici společnosti Binarly zjistili, že ve firmwarech základních desek společností Intel a Lenovo se nachází webový server Lighttpd, který obsahuje nezáplatovanou bezpečnostní chybu. Jde o zranitelnost typu out-of-bounds read (čtení mimo hranice), kterou lze zneužít ke získání citlivých dat z paměti procesu. To umožňuje například obejít klíčové bezpečnostní mechanismy, jako je randomizace rozložení adresního prostoru (ASLR).
Původní zranitelnost v Lighttpd byla objevena a opravena již v srpnu 2018 ve verzi 1.4.51, ale absence identifikátoru CVE nebo veřejného varování zapříčinila, že jej vývojáři AMI MegaRAC BMC přehlédli a děravá verze nakonec skončila v produktech společností Intel a Lenovo.
Společnosti Intel a Lenovo se rozhodly problém neřešit, protože produkty s děravou verzí Lighttpd dosáhly konce své životnosti (EoL, end-of-life) a nemají tak už nárok na bezpečnostní aktualizace. To znamená, že chyba už bude v základních deskách navždy. Jedná se o další zranitelnost, která zůstane v některých produktech navždy neopravená a bude pro odvětví představovat riziko s velkým dopadem po velmi dlouhou dobu,
dodávají ve své zprávě zástupci společnosti Binarly.
ČLÁNKY DO MAILU