EDK2 Capsule Update Mechanism本地整数溢出漏洞（CVE-2014-4859）

发布日期：2014-08-07
更新日期：2014-08-09受影响系统：
EDK2 EDK2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 69114
CVE（CAN） ID: CVE-2014-4859

EDK2是开源项目，提供了统一可扩展固件接口的参考实现。

在UEFI引导进程的DXE阶段，会解析capsule图形的内容。在capsule处理阶段存在整数溢出漏洞，可造成分配的缓冲区较小，结果导致攻击者在当前用户上下文中执行任意代码。

<*来源：Corey Kallenberg

链接：http://www.kb.cert.org/vuls/id/552286
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

EDK2
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://tianocore.sourceforge.net/wiki/EDK2