微软 Security Copilot 立功，AI 揪出三大开源引导程序 20 个关键漏洞

GoodNav 4 月 1 日消息，科技媒体 bleepingcomputer 昨日（3 月 31 日）发布的博文称，微软公司利用 AI 工具 Security Copilot，在三个重要的开源引导程序 GRUB2、U-Boot 和 Barebox 中发现了 20 个未知的安全漏洞。

值得注意的是，GRUB2 是 Ubuntu 等 Linux 系统的默认引导程序。微软在 GRUB2 中发现了 11 个漏洞，主要包括文件系统解析器的整数溢出、缓冲区溢出以及加密比较函数的侧信道攻击风险。

U-Boot 和 Barebox 主要用于嵌入式设备，微软在这两个程序中发现了 9 个漏洞，涉及 SquashFS 等文件系统解析的缓冲区溢出，利用这些漏洞需要对设备进行物理接触。

微软警告称，攻击者可能利用 GRUB2 的漏洞绕过 UEFI 的安全启动机制，甚至突破 BitLocker 等加密保护，从而植入隐蔽的恶意引导程序（bootkit）。一旦攻击成功，攻击者将能够完全控制设备，操纵启动流程和操作系统，并渗透到局域网内的其他设备。更为严重的是，这类恶意软件可能无法通过重新安装系统或更换硬盘的方式进行清除。

在这些漏洞中，CVE-2025-0678（Squash4 文件读取整数溢出）被评为高风险（CVSS 7.8），其他漏洞则为中等风险。微软强调，Security Copilot 不仅能够快速定位漏洞，还提供了修复建议，大幅提升了开源项目的补丁发布效率。目前，受影响的 GRUB2、U-Boot 和 Barebox 已于 2025 年 2 月发布了更新，用户应尽快进行升级。