近日，科技新聞界傳來重要消息，知名科技媒體bleepingcomputer披露了一項由微軟公司借助AI工具Security Copilot所取得的重大安全發(fā)現(xiàn)。據(jù)悉，該工具在三大開源引導(dǎo)程序——GRUB2、U-Boot以及Barebox中，共揭示了20個先前未知的安全漏洞。

GRUB2，作為Ubuntu等眾多Linux系統(tǒng)的默認引導(dǎo)程序，在此次檢測中尤為引人注目。微軟通過Security Copilot在GRUB2中發(fā)現(xiàn)了多達11個漏洞，涵蓋文件系統(tǒng)解析器的整數(shù)溢出、緩沖區(qū)溢出問題，以及加密比較函數(shù)可能面臨的側(cè)信道攻擊風險。這些漏洞的存在，無疑為系統(tǒng)的安全性蒙上了一層陰影。

與此同時，U-Boot和Barebox兩大主要用于嵌入式設(shè)備的引導(dǎo)程序也未能幸免。微軟在它們身上共發(fā)現(xiàn)了9個漏洞，主要涉及SquashFS等文件系統(tǒng)解析的緩沖區(qū)溢出問題。值得注意的是，這些漏洞的利用通常需要物理接觸設(shè)備，從而在一定程度上限制了攻擊的范圍。

微軟方面對此發(fā)出了嚴正警告，指出攻擊者若成功利用GRUB2中的漏洞，不僅能夠繞過UEFI安全啟動機制，甚至可能突破BitLocker等加密保護，植入難以察覺的惡意引導(dǎo)程序（bootkit）。一旦攻擊得手，攻擊者將能夠全面控制受感染設(shè)備，操縱啟動流程和操作系統(tǒng)，進而對局域網(wǎng)內(nèi)的其他設(shè)備構(gòu)成嚴重威脅。更為棘手的是，此類惡意軟件一旦扎根，往往難以通過簡單的重裝系統(tǒng)或更換硬盤來徹底清除。

在曝光的漏洞中，CVE-2025-0678（Squash4文件讀取整數(shù)溢出）因其潛在的高風險性（CVSS評分為7.8）而備受關(guān)注，其余漏洞則被視為中危級別。不過，微軟也強調(diào)指出，Security Copilot不僅具備快速定位漏洞的能力，還能夠提供切實可行的修復(fù)建議，從而大大提高了開源項目補丁發(fā)布的效率。

目前，受影響的GRUB2、U-Boot和Barebox已經(jīng)于2025年2月發(fā)布了更新補丁。微軟方面敦促所有用戶盡快升級至最新版本，以確保系統(tǒng)的安全性不受影響。這一事件再次提醒我們，在數(shù)字化轉(zhuǎn)型日益加速的今天，信息安全問題不容忽視，必須時刻保持警惕。