IT之家1月19日消息，法国网络安全公司Quarkslab日前公布了一项名为PixieFAIL的UEFI漏洞，该漏洞允许黑客远程发动DoS攻击、远程执行代码、劫持网络会话。包括微软、ARM、谷歌等公司旗下产品均遭影响。

IT之家注意到，相关漏洞主要存在于英特尔TianoCoreEDKII开发环境中，由9项子漏洞组成，具体列表如下：

整数溢出漏洞：CVE-2023-45229

缓冲区溢出漏洞：CVE-2023-45230、CVE-2023-45234、CVE-2023-45235

越界读取漏洞：CVE-2023-45231

循环漏洞：CVE-2023-45232、CVE-2023-45233

TCP序列号预测漏洞：CVE-2023-45236

弱伪随机数生成器漏洞：CVE-2023-45237

研究人员指出，当下许多企业计算机及服务器使用网络启动操作系统，为了提供相关功能，UEFI需要在驱动执行环境（DXE）阶段实现了一个完整的IP堆栈，从而形成了相关漏洞，允许黑客在预启动执行环境（PrebootExecutionEnvironment，PXE）入侵本地局域网计算机，进而进行恶意行为。

据悉，由于微软ProjectMu、谷歌ChromeOS、PhoenixTechnologies的SecureCore中均包含TianoCoreEDKII部分代码，因此PixieFAIL漏洞也会影响相关软件。

实际上，Quarkslab早在去年8月向法国计算机应急和协调中心（CERT-FR）报告了PixieFAIL漏洞，并提供了其中7个子漏洞的概念验证程序。该公司原计划于去年11月2日公开披露该漏洞，但收到了各厂商的推迟披露请求，并一再推迟，直到当下绝大多数厂商修复完成后，该安全公司才最终官宣披露相关漏洞。