Nikolaj Schlej

**Nome do Software Vulnerável e Versões Afetadas** Firmware Insyde H2O UEFI (versões afetadas não especificadas) **Descrição** Existe uma falha no processo de verificação de assinatura digital no firmware Insyde H2O UEFI. Este problema não valida corretamente os atributos da variável, permitindo que um atacante contorne a verificação de assinatura ao criar uma variável NVRAM não autenticada. A exploração bem-sucedida poderia permitir que um atacante executasse código UEFI assinado arbitrário e contornasse o Secure Boot. A vulnerabilidade, denominada Hydroph0bia, afeta dispositivos incluindo laptops, sistemas embarcados, dispositivos médicos, ECUs automotivas e sistemas utilizados em IoT, SCADA e infraestrutura crítica. A vulnerabilidade permite a injeção indetectável de malware e rootkits. A vulnerabilidade pode ser explorada sem interação do usuário e com o Secure Boot e senhas de firmware habilitados. A vulnerabilidade envolve a manipulação da variável `IhisiParamBuffer`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.