PT-2022-10273 · Insyde · Insydeh2O
Publicado
2022-02-03
·
Atualizado
2022-04-12
·
CVE-2021-33625
CVSS v3.1
7.5
Alta
| Vetor | AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Insyde InsydeH2O Kernel 5.x
Descrição
Foi descoberta uma falha no Insyde InsydeH2O, afetando o HddPassword, na qual os serviços SMI de software que utilizam a função
Communicate() do EFI SMM COMMUNICATION PROTOCOL não validam o endereço do buffer, permitindo o uso de endereços SMRAM, MMIO ou do kernel do sistema operacional.Recomendações
Para o Insyde InsydeH2O Kernel 5.x, como solução temporária, considere restringir o uso da função
Communicate() dentro do EFI SMM COMMUNICATION PROTOCOL até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Insydeh2O