近日TechPowerUp论坛上的一位用户发现MX500系列SSD的一个严重安全漏洞,容易出现缓冲区溢出,从而导致数据泄露,可能会暴露敏感数据。由于MX500系列SSD属于英睿达的经典产品,已销售多年,出货量非常大,可以预见这次安全事件影响的范围很大。
据了解,这个安全漏洞很危险,因为攻击者可以通过从主机到SSD控制器的特制ATA数据包手动触发缓冲区溢出。在技术术语中,缓冲区溢出是一种软件错误,当程序试图向内存缓冲区写入超过缓冲区物理容量的数据时,就会发生这种错误。这个反应导致程序覆盖相邻的内存缓冲区,用新数据擦除和替换现有数据。由于添加到相邻内存缓冲区的额外数据可以保存恶意代码,攻击者可以故意将其放在那里加以利用。缓冲区溢出最大作用是,让攻击者获得对正在攻击的设备和/或程序的完全控制。
根据CVE官网发布的记录信息,该安全漏洞的编号为CVE-2024-42642,与SSD主控对固件更新的处理有关。由于官方还没有宣布MX500系列SSD这次安全漏洞的具体情况,所以都有哪些固件受到影响还有待确认,目前了解到其中包括M3CR046版本。
据了解,这个安全漏洞很危险,因为攻击者可以通过从主机到SSD控制器的特制ATA数据包手动触发缓冲区溢出。在技术术语中,缓冲区溢出是一种软件错误,当程序试图向内存缓冲区写入超过缓冲区物理容量的数据时,就会发生这种错误。这个反应导致程序覆盖相邻的内存缓冲区,用新数据擦除和替换现有数据。由于添加到相邻内存缓冲区的额外数据可以保存恶意代码,攻击者可以故意将其放在那里加以利用。缓冲区溢出最大作用是,让攻击者获得对正在攻击的设备和/或程序的完全控制。
根据CVE官网发布的记录信息,该安全漏洞的编号为CVE-2024-42642,与SSD主控对固件更新的处理有关。由于官方还没有宣布MX500系列SSD这次安全漏洞的具体情况,所以都有哪些固件受到影响还有待确认,目前了解到其中包括M3CR046版本。