Por muita segurança que os utilizadores apliquem para os seus sistemas, de pouco adianta se os fabricantes desses sistemas não tiverem também as suas aplicações e drivers seguras e atualizadas.
Recentemente foi descoberto que vários computadores da Dell, HP e Lenovo estariam a usar versões desatualizadas do OpenSSL sobre um dos seus componentes essenciais para funcionamento. O EFI Development Kit é um kit que permite interligar as funcionalidades da UEFI de determinados sistemas com o sistema operativo.
Este kit de firmware encontra-se atualmente na segunda versão, que é conhecido como EDK II, o qual possui o seu próprio pacote de encriptação conhecido como CryptoPkg, e o qual usa o OpenSSL como base.
No entanto, a empresa de segurança Binarly revelou ter descoberto que vários sistemas que usam este kit ainda se encontram a usar versões desatualizadas do mesmo, os quais possuem o OpenSSL vulnerável a ataques. Alguns dos pacotes de OpenSSL presentes no firmware das fabricantes ainda estariam em versões consideravelmente desatualizadas do OpenSSL, alguns dos quais datados de 2014 no caso da HP.
No caso da Lenovo e Dell a situação seria ainda pior, uma vez que o firmware estaria a usar versões do OpenSSL datadas de 2009.
Estas versões são consideradas atualmente como bastante antigas, e possuem falhas conhecidas que podem ser exploradas para os mais variados ataques. Apesar de os investigadores não terem confirmado a existente de ataques a usarem estas versões para explorar falhas, não será algo de todo impossível de acontecer.
Além disso, uma grande parte do código existente neste firmware encontra-se também adaptado pelas empresas, pelo que podem existir ainda mais componentes afetados com pacotes desatualizados – embora uma parte do código seja fechado.
Nenhum comentário
Seja o primeiro!