Insyde InsydeH2O是中国台湾系微(Insyde)公司的一个 C 语言源,它实现了新技术“EFI/UEFI”规范,旨在取代传统的 BIOS(基本输入/输出系统)。
InsydeH2O Hardware-2-Operating System (H2O) UEFI固件存在安全漏洞,该漏洞允许能够在 DXE 阶段执行代码的攻击者利用此漏洞将权限提升到 SMM。攻击者可以覆盖 LocateProtocol 或 Freepool 内存地址位置来执行不需要的代码。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.insyde.com/security-pledge