Η Microsoft εντοπίζει 20 νέες ευπάθειες σε GRUB2, U-Boot και Barebox μέσω εργαλείου ΤΝ

Η Microsoft ανακοίνωσε τον εντοπισμό 20 άγνωστων μέχρι πρότινος ευπαθειών σε τρεις δημοφιλείς open-source bootloaders: τον GRUB2, τον U-Boot και τον Barebox. Η ανακάλυψη έγινε μέσω του εργαλείου ανάλυσης κώδικα Security Copilot, το οποίο ανέλαβε να επιθεωρήσει μεγάλα και σύνθετα αποθετήρια λογισμικού με στόχο την αποκάλυψη πιθανών τρωτών σημείων. Ο GRUB2 χρησιμοποιείται ως ο βασικός bootloader στις περισσότερες διανομές Linux, ενώ οι U-Boot και Barebox εντοπίζονται κυρίως σε embedded και IoT συσκευές.

Συνολικά, εντοπίστηκαν έντεκα ευπάθειες στον GRUB2 και εννέα στους U-Boot και Barebox. Οι ευπάθειες περιλαμβάνουν buffer overflows, integer overflows και, σε μία περίπτωση, μία side-channel επίθεση που σχετίζεται με τη λειτουργία κρυπτογραφικής σύγκρισης τιμών στη μνήμη. Πολλά από τα σφάλματα σχετίζονται με τον χειρισμό αρχείων και συστημάτων αρχείων όπως SquashFS, EXT4, JFS, ReiserFS, RomFS και άλλα. Ειδικότερα στον GRUB2, τα σφάλματα αφορούν τόσο στον χειρισμό file systems όσο και σε εντολές όπως το read και το dump, με τη δεύτερη να επιτρέπει την αυθαίρετη ανάγνωση περιοχών μνήμης — κάτι που σε παραγωγικά συστήματα θα έπρεπε να είναι απενεργοποιημένο.

Η Microsoft επισημαίνει ότι, ενώ για τους U-Boot και Barebox απαιτείται φυσική πρόσβαση στη συσκευή για την εκμετάλλευση των σφαλμάτων, στην περίπτωση του GRUB2 οι ευπάθειες μπορούν, υπό συγκεκριμένες συνθήκες, να αξιοποιηθούν για την παράκαμψη του UEFI Secure Boot και την εγκατάσταση κακόβουλων bootkits. Αυτό θα μπορούσε να οδηγήσει σε πλήρη έλεγχο της διαδικασίας εκκίνησης, παράκαμψη μηχανισμών όπως το BitLocker, και εγκατάσταση επίμονου malware που θα επιβίωνε ακόμα και μετά από επανεγκατάσταση του λειτουργικού ή αντικατάσταση δίσκου.

Ανάμεσα στα πιο σοβαρά σφάλματα συγκαταλέγεται η ευπάθεια CVE-2025-0678, η οποία αφορά integer overflow κατά την ανάγνωση SquashFS αρχείων και βαθμολογείται με CVSS 7.8 (υψηλής σοβαρότητας). Όλες οι υπόλοιπες ευπάθειες χαρακτηρίζονται ως μέσης σοβαρότητας.

Το Security Copilot δεν εντόπισε απλώς τις ευπάθειες, αλλά πρότεινε και στοχευμένες διορθώσεις, διευκολύνοντας έτσι τη διαδικασία έκδοσης ενημερώσεων — κάτι ιδιαίτερα σημαντικό σε έργα ανοιχτού κώδικα, τα οποία συχνά υποστηρίζονται από μικρές κοινότητες ή εθελοντές. Η Microsoft υποστηρίζει ότι με τη βοήθεια του εργαλείου τεχνητής νοημοσύνης εξοικονομήθηκε τουλάχιστον μία εβδομάδα χειροκίνητης ανάλυσης κώδικα, ενώ οι ίδιες τεχνικές εφαρμόστηκαν και σε U-Boot/Barebox όπου εντοπίστηκαν παρόμοια προβλήματα λόγω κοινής βάσης κώδικα.

Οι διαχειριστές των GRUB2, U-Boot και Barebox έχουν ήδη εκδώσει ενημερώσεις ασφαλείας από τον Φεβρουάριο του 2025. Οι χρήστες καλούνται να αναβαθμίσουν άμεσα στις τελευταίες εκδόσεις για να διασφαλίσουν ότι τα συστήματά τους προστατεύονται, ιδιαίτερα όταν χρησιμοποιούνται μηχανισμοί όπως το UEFI Secure Boot ή το BitLocker.

Η συγκεκριμένη αποκάλυψη φέρνει στο προσκήνιο τη δυνατότητα της τεχνητής νοημοσύνης να επιταχύνει ουσιαστικά τον εντοπισμό ευπαθειών σε μεγάλα έργα λογισμικού, ενισχύοντας την ασφάλεια στον ανοιχτό κώδικα. Ταυτόχρονα, αναδεικνύει τον αυξανόμενο ρόλο της Microsoft στον χώρο του proactive vulnerability research, με επίκεντρο έργα που αποτελούν βασικά δομικά στοιχεία σε σύγχρονες υποδομές πληροφορικής.