Home > 전체기사

에이서, 시큐어부트 비활성화시키는 UEFI 버그 고쳐

  |  입력 : 2022-11-29 12:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
일부 노트북 제품의 시큐어부팅 불가하게 만드는 취약점, 패치 배포 중

요약 : IT 외신 블리핑컴퓨터에 의하면 노트북 제조사 에이서(Acer)가 자사 제품 일부에서 발견된 UEFI 버그를 해결했다고 한다. 문제의 취약점은 CVE-2020-4020으로 보안 업체 이셋(ESET)의 멀웨어 전문가 마틴 스몰라(Martin Smolar)가 제보했다. 일부 에이서 노트북의 HQSwSmiDxe DXE 드라이버에서 처음 발견됐다고 한다. 공격자는 이 취약점을 통해 BootOrderSecureBootDisable NVRAM 변수를 조작할 수 있으며, 이를 통해 시큐어부트를 비활성화시킬 수 있다. 공격 난이도는 낮으며, 취약점은 고위험군으로 분류됐다.

[이미지 = utoimage]


배경 : 시큐어부트는 말 그대로 컴퓨터가 안전하게 부팅될 수 있도록 하는 기능이다. TPM 칩과 UEFI 펌웨어를 이용해 악성 코드가 부팅 과정 중에 발동되는 것을 막는다. 이번에 발견된 취약점의 영향을 받는 에이서 노트북 모델은 Acer Aspire A315-22, A115-21, A315-22G, Extensa EX215-21, EX215-21G이다.

말말말 : “사용자들은 현재 배포되고 있는 바이오스 업데이트를 실시함으로써 보다 안전한 환경에서 컴퓨터를 이용하실 수 있습니다.” -에이서-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야