می 4, 2024
دستگاه‌های Dell، HP و Lenovo با استفاده از نسخه‌های قدیمی OpenSSL پیدا شدند امنیت سایبری آخرین بینش ها و روندها در زمینه فناوری و موارد دیگر CyberVish
امنیت سایبری

دستگاه‌های Dell، HP و Lenovo با استفاده از نسخه‌های قدیمی OpenSSL پیدا شدند

  • توسط
  • 25 نوامبر 2022
  • 0 نظرات
  • 1 دقیقه مطالعه کنید
  • 6581 بازدیدها
  • 1 سال پیش

دستگاه‌های Dell، HP و Lenovo با استفاده از نسخه‌های قدیمی OpenSSL پیدا شدند

تجزیه و تحلیل تصاویر میان‌افزار در سراسر دستگاه‌های Dell، HP و Lenovo وجود نسخه‌های قدیمی کتابخانه رمزنگاری OpenSSL را نشان می‌دهد که بر ریسک زنجیره تامین تاکید می‌کند.

کیت توسعه EFI، با نام مستعار EDK، یک پیاده‌سازی منبع باز از رابط میان‌افزار توسعه‌پذیر یکپارچه (UEFI) است که به عنوان رابط بین سیستم‌عامل و سفت‌افزار تعبیه‌شده در سخت‌افزار دستگاه عمل می‌کند.

دستگاه‌های Dell، HP و Lenovo با استفاده از نسخه‌های قدیمی OpenSSL پیدا شدند
منبع تصویر- اخبار هکرها

محیط توسعه سیستم عامل، که در دومین تکرار خود (EDK II) است، با بسته رمزنگاری خاص خود به نام CryptoPkg ارائه می شود که به نوبه خود از خدمات پروژه OpenSSL استفاده می کند.

طبق شرکت امنیتی سیستم‌افزار Binarly، تصویر میان‌افزار مرتبط با دستگاه‌های سازمانی Lenovo Thinkpad از سه نسخه مختلف OpenSSL استفاده می‌کند: 0.9.8zb، 1.0.0a و 1.0.2j که آخرین آن در سال 2018 منتشر شد.

Binarly در یک نوشته فنی هفته گذشته توضیح داد که ماژول مسئول به روز رسانی سیستم عامل ماژول پلتفرم قابل اعتماد (TPM) در تراشه Infineon InfineonTpmUpdateDxe است.

تنوع نسخه‌های OpenSSL را کنار بگذاریم، برخی از بسته‌های میان‌افزار Lenovo و Dell از نسخه حتی قدیمی‌تر (0.9.8l) استفاده می‌کردند که در 5 نوامبر 2009 منتشر شد. کد میان‌افزار HP نیز از نسخه 10 ساله استفاده می‌کرد. کتابخانه (0.9.8w).

این واقعیت که سفت‌افزار دستگاه از چندین نسخه OpenSSL در یک بسته باینری استفاده می‌کند، نشان می‌دهد که چگونه وابستگی‌های کد شخص ثالث می‌تواند پیچیدگی‌های بیشتری را در اکوسیستم زنجیره تامین ایجاد کند.

Binarly در ادامه به نقاط ضعف آنچه که صورتحساب مواد نرم افزاری (SBOM) نامیده می شود اشاره کرد که در نتیجه ادغام ماژول های باینری کامپایل شده (معروف به منبع بسته) در سیستم عامل ایجاد می شود.

این شرکت گفت: «ما در مورد کد کامپایل شده برای اعتبارسنجی در سطح باینری، لیستی از اطلاعات وابستگی شخص ثالث که با SBOM واقعی ارائه شده توسط فروشنده مطابقت دارد، نیاز فوری به یک لایه اضافی از اعتبارسنجی SBOM می بینیم.

برچسب ها:

این اعلان را به اشتراک گذارید:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پست مرتبط

مقالات, امنیت سایبری

افشای نقاب از سمت تاریک رسانه های اجتماعی: تهدیدات امنیت سایبری

14 مارس 2023
مقالات, امنیت سایبری

شکستن کد: کشف انگیزه های جرایم سایبری

14 مارس 2023
مقالات, امنیت سایبری, فن آوری

هکرها از برنامه های OAuth مایکروسافت برای نفوذ به ایمیل شرکت سوء استفاده کردند

فوریه 1, 2023
مقالات, امنیت سایبری

مایکروسافت به کاربران توصیه می کند که سرورهای Exchange خود را بالا نگه دارند

31 ژانویه 2023
مقالات, امنیت سایبری, فن آوری

آژانس سایبری انگلیس نسبت به هکرهای روسی و ایرانی هشدار داد

28 ژانویه 2023
مقالات, امنیت سایبری, فن آوری

بیش از 4500 سایت ورلدپرس هک شدند تا بازدیدکنندگان را به آن هدایت کنند

26 ژانویه 2023
fa_IRفارسی
en_USEnglish hi_INहिन्दी guગુજરાતી ta_INதமிழ் teతెలుగు mrमराठी ml_INമലയാളം bn_BDবাংলা fr_BEFrançais de Belgique de_CHDeutsch (Schweiz) de_DE_formalDeutsch (Sie) de_DEDeutsch en_CAEnglish (Canada) en_NZEnglish (New Zealand) en_GBEnglish (UK) en_AUEnglish (Australia) en_ZAEnglish (South Africa) afAfrikaans urاردو arالعربية ru_RUРусский zh_CN简体中文 azAzərbaycan dili asঅসমীয়া hu_HUMagyar id_IDBahasa Indonesia es_AREspañol de Argentina es_COEspañol de Colombia ja日本語 it_ITItaliano viTiếng Việt ukУкраїнська fr_CAFrançais du Canada fa_IRفارسی