CVE-2025-4275

Nome do Software Vulnerável e Versões Afetadas Firmware Insyde H2O UEFI (versões afetadas não especificadas)

Descrição Existe uma falha no processo de verificação de assinatura digital no firmware Insyde H2O UEFI. Este problema não valida corretamente os atributos da variável, permitindo que um atacante contorne a verificação de assinatura ao criar uma variável NVRAM não autenticada. A exploração bem-sucedida poderia permitir que um atacante executasse código UEFI assinado arbitrário e contornasse o Secure Boot. A vulnerabilidade, denominada Hydroph0bia, afeta dispositivos incluindo laptops, sistemas embarcados, dispositivos médicos, ECUs automotivas e sistemas utilizados em IoT, SCADA e infraestrutura crítica. A vulnerabilidade permite a injeção indetectável de malware e rootkits. A vulnerabilidade pode ser explorada sem interação do usuário e com o Secure Boot e senhas de firmware habilitados. A vulnerabilidade envolve a manipulação da variável IhisiParamBuffer.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.