EDK2 Capsule Update Mechanism本地整数溢出漏洞（CVE-2014-4860）

发布日期：2014-08-07
更新日期：2014-08-09受影响系统：
EDK2 EDK2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 69123
CVE（CAN） ID: CVE-2014-4860

EDK2是开源项目，提供了统一可扩展固件接口的参考实现。

在UEFI引导进程的PEI阶段，capsule更新会合并到其原始形式。在合并阶段存在整数溢出漏洞，可造成缓冲区溢出，结果导致攻击者在当前用户上下文中执行任意代码。

<*来源：Corey Kallenberg
Xeno Kovah
John Butterworth

链接：http://www.kb.cert.org/vuls/id/552286
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

EDK2
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://tianocore.sourceforge.net/wiki/EDK2