C'est absolument génial, l'attaque #LogoFail. Comme bien des ordinateurs affichent un logo au démarrage, et que ce logo n'est pas en dur dans le code mais chargé depuis un fichier, l'analyseur du fichier est critique (cf. la faille récente sur WebP). Or, plein de BIOS ont un analyseur bogué, qui tourne avant le système d'exploitation, donc en open bar complet, et qui peut être trompé par une image malveillante.
https://www.blackhat.com/eu-23/briefings/schedule/index.html#logofail-security-implications-of-image-parsing-during-system-boot-35042
Embed Notice
HTML Code
Corresponding Notice
- Embed this notice
Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Wednesday, 13-Dec-2023 12:51:56 JSTStéphane Bortzmeyer