英睿達(dá) MX500 固態(tài)硬盤被曝固件更新機(jī)制存問題，易受緩沖區(qū)溢出影響

IT之家 9 月 13 日消息，根據(jù) CVE 官網(wǎng)當(dāng)?shù)貢r間本月 4 日發(fā)布的記錄信息（編號 CVE-2024-42642），采用 M3CR046 固件的英睿達(dá) MX500 固態(tài)硬盤容易受到緩沖區(qū)溢出的影響，可通過將特定 ATA 數(shù)據(jù)包從主機(jī)發(fā)送至固態(tài)硬盤主控的方式觸發(fā)緩沖區(qū)溢出。

CVE-2024-42642 指向的 Github 頁面顯示，該漏洞與固態(tài)硬盤主控對固件更新的處理有關(guān)。

MX500 是英睿達(dá)的一款經(jīng)典中高端 SATA 6Gbps 固態(tài)硬盤產(chǎn)品。該型號經(jīng)歷過多次物料變動，不過配備的主控均來自慧榮這一家供應(yīng)商。

根據(jù)英睿達(dá)英文官網(wǎng) MX500 固態(tài)硬盤固件升級頁面，該產(chǎn)品現(xiàn)有物料方案的最新固件版本即是 M3CR046，以往其它物料方案對應(yīng)的最新固件版本包括 M3CR023 和 M3CR033。

對該漏洞進(jìn)行的驗證目前是 64bit Ubuntu 22.04 Linux 發(fā)行版上使用標(biāo)準(zhǔn) Linux SCSI 驅(qū)動程序進(jìn)行的，暫不清楚在其它發(fā)行版或操作系統(tǒng)上是否也會出現(xiàn)同款問題。

IT之家附 CVE 官網(wǎng)與 Github 相關(guān)頁面鏈接如下：

• https://www.cve.org/CVERecord?id=CVE-2024-42642

• https://github.com/VL4DR/CVE-2024-42642/tree/main

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。