Deck Mate 2 не имеет проверенной цепи безопасного загрузочного устройства и проверки целостности времени выполнения для своих модулей контр…
Deck Mate 2 не имеет проверенной цепи безопасного загрузочного устройства и проверки целостности времени выполнения для своих модулей контроллера и дисплея. Без криптографической проверки загрузки злоумышленник с физическим доступом может изменять или заменять загрузчик, ядро или файловую систему и получать постоянное исполнение кода при перезагрузке. Эта слабость позволяет долгосрочное фальсификацию прошивки, которая переживает циклы мощности. Поставщик указывает, что более поздние обновления прошивки укрепляют целостность цепочки обновления и отключают порты физического обновления для смягчения соответствующих возможностей атак.
Отсутствие неизменяемого корня доверия в аппаратных средствах приводит к возможности обхода защищённой загрузки или исполнения недоверенного или враждебного загрузочного кода.
https://cwe.mitre.org/data/definitions/1326.html →Открыть в коллекции CWE →Во многих языках программирования используются механизмы подписания кода для удостоверения идентичности кода и тем самым привязки кода к назначенным ему привилегиям в среде. Подрыв этого механизма может быть инструментом повышения привилегий злоумышленником. Любой способ обхода механизма контроля подписания кода виртуальной машиной квалифицируется как данный стиль атаки.
https://capec.mitre.org/data/definitions/68.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/679.html →Открыть в коллекции CAPEC →