近日，科技新聞界傳來重要消息，知名科技媒體bleepingcomputer披露了一項(xiàng)由微軟公司借助AI工具Security Copilot所取得的重大安全發(fā)現(xiàn)。據(jù)悉，該工具在三大開源引導(dǎo)程序——GRUB2、U-Boot以及Barebox中，共揭示了20個(gè)先前未知的安全漏洞。

GRUB2，作為Ubuntu等眾多Linux系統(tǒng)的默認(rèn)引導(dǎo)程序，在此次檢測(cè)中尤為引人注目。微軟通過Security Copilot在GRUB2中發(fā)現(xiàn)了多達(dá)11個(gè)漏洞，涵蓋文件系統(tǒng)解析器的整數(shù)溢出、緩沖區(qū)溢出問題，以及加密比較函數(shù)可能面臨的側(cè)信道攻擊風(fēng)險(xiǎn)。這些漏洞的存在，無疑為系統(tǒng)的安全性蒙上了一層陰影。

與此同時(shí)，U-Boot和Barebox兩大主要用于嵌入式設(shè)備的引導(dǎo)程序也未能幸免。微軟在它們身上共發(fā)現(xiàn)了9個(gè)漏洞，主要涉及SquashFS等文件系統(tǒng)解析的緩沖區(qū)溢出問題。值得注意的是，這些漏洞的利用通常需要物理接觸設(shè)備，從而在一定程度上限制了攻擊的范圍。

微軟方面對(duì)此發(fā)出了嚴(yán)正警告，指出攻擊者若成功利用GRUB2中的漏洞，不僅能夠繞過UEFI安全啟動(dòng)機(jī)制，甚至可能突破BitLocker等加密保護(hù)，植入難以察覺的惡意引導(dǎo)程序（bootkit）。一旦攻擊得手，攻擊者將能夠全面控制受感染設(shè)備，操縱啟動(dòng)流程和操作系統(tǒng)，進(jìn)而對(duì)局域網(wǎng)內(nèi)的其他設(shè)備構(gòu)成嚴(yán)重威脅。更為棘手的是，此類惡意軟件一旦扎根，往往難以通過簡(jiǎn)單的重裝系統(tǒng)或更換硬盤來徹底清除。

在曝光的漏洞中，CVE-2025-0678（Squash4文件讀取整數(shù)溢出）因其潛在的高風(fēng)險(xiǎn)性（CVSS評(píng)分為7.8）而備受關(guān)注，其余漏洞則被視為中危級(jí)別。不過，微軟也強(qiáng)調(diào)指出，Security Copilot不僅具備快速定位漏洞的能力，還能夠提供切實(shí)可行的修復(fù)建議，從而大大提高了開源項(xiàng)目補(bǔ)丁發(fā)布的效率。

目前，受影響的GRUB2、U-Boot和Barebox已經(jīng)于2025年2月發(fā)布了更新補(bǔ)丁。微軟方面敦促所有用戶盡快升級(jí)至最新版本，以確保系統(tǒng)的安全性不受影響。這一事件再次提醒我們，在數(shù)字化轉(zhuǎn)型日益加速的今天，信息安全問題不容忽視，必須時(shí)刻保持警惕。