微軟 Security Copilot 立功，AI 揪出三大開(kāi)源引導(dǎo)程序 20 個(gè)關(guān)鍵漏洞

科技媒體 bleepingcomputer 昨日（3 月 31 日）發(fā)布博文，報(bào)道稱微軟公司借助 AI 工具 Security Copilot，在 GRUB2、U-Boot 和 Barebox 三大開(kāi)源引導(dǎo)程序中，發(fā)現(xiàn)了 20 個(gè)此前未知的漏洞。

IT之家注：GRUB2 是 Ubuntu 等 Linux 系統(tǒng)的默認(rèn)引導(dǎo)程序。微軟本次在 GRUB2 上發(fā)現(xiàn)了 11 個(gè)漏洞，包括文件系統(tǒng)解析器的整數(shù)溢出、緩沖區(qū)溢出，以及加密比較函數(shù)的側(cè)信道攻擊風(fēng)險(xiǎn)。

U-Boot 和 Barebox 主要用于嵌入式設(shè)備，微軟發(fā)現(xiàn) 9 個(gè)漏洞，涉及 SquashFS 等文件系統(tǒng)解析的緩沖區(qū)溢出，需物理接觸設(shè)備才能利用。

微軟警告稱，攻擊者可能利用 GRUB2 漏洞繞過(guò) UEFI 安全啟動(dòng)機(jī)制，甚至突破 BitLocker 等加密保護(hù)，植入隱蔽的惡意引導(dǎo)程序（bootkit）。一旦得逞，攻擊者可完全控制設(shè)備，操縱啟動(dòng)流程和操作系統(tǒng)，并滲透局域網(wǎng)內(nèi)其他設(shè)備。更嚴(yán)重的是，此類惡意軟件可能無(wú)法通過(guò)重裝系統(tǒng)或更換硬盤(pán)清除。

具體漏洞中，CVE-2025-0678（Squash4 文件讀取整數(shù)溢出）被列為高風(fēng)險(xiǎn)（CVSS 7.8），其余為中危。微軟強(qiáng)調(diào)，Security Copilot 不僅快速定位漏洞，還提供了修復(fù)建議，顯著提升了開(kāi)源項(xiàng)目的補(bǔ)丁發(fā)布效率。受影響的 GRUB2、U-Boot 和 Barebox 已于 2025 年 2 月發(fā)布更新，用戶應(yīng)盡快升級(jí)。