打开网易新闻 查看精彩图片

提起安全漏洞,大多数朋友可能首先会联想到微软的Windows操作系统和英特尔、AMD的处理器。

这三家公司的产品是这类新闻的常见主角,经常会爆出这样或者那样的新安全漏洞,可谓司空见惯。但是,安全漏洞绝不止操作系统和处理器才会有,其它的软硬件也可能会有,下面小编要分享的是近日英睿达(Crucial)固态硬盘中所发现的严重安全漏洞。

在正式介绍具体内容之前,首先要介绍一下镁光(Micron)和英睿达之间的关系。看到这里可能有一部分朋友会感到非常奇怪:英睿达就说英睿达,为什么小编又要提镁光呢?因为有很多朋友可能不了解这两个品牌之间的关系,会产生混淆和误解,因此有解释的必要。

打开网易新闻 查看精彩图片

简单来说,英睿达是镁光的子品牌,直接采用镁光的原厂存储颗粒,所以,两家品牌也可以视为是一个品牌。因此,读者有可能在其他的媒体上看到与本文类似的内容,但主体却是镁光(或者与英睿达并列,请参阅图二和图三),内容是镁光的固态硬盘爆出了严重的安全漏洞。

如果读者碰到这种情况,请不要误解,因为两个品牌共享存储颗粒和技术,因此,具体主体是英睿达,还是镁光,都没有本质区别。

那么,英睿达的哪个系列固态硬盘爆出了严重安全漏洞?具体是什么安全漏洞呢?简单来说,主要是其MX500系列,存在缓冲区溢出漏洞,存在被黑客利用缓冲区溢出方式攻击的风险,其安全编号为“CVE-2024-42642”。

打开网易新闻 查看精彩图片

具体而言,英睿达MX500系列采用慧荣(Sillicon-Motion)主控,依批次不同,主控具体型号也不同,略有区别,是一款4通道SATA 6Gb/s微控制器,采用基于ARC架构的32位little-endian CPU。

有些朋友可能对“ARC架构处理器”感到很陌生,其实它是一种基于RISC(精简指令集计算)设计的处理器架构。

“ARC架构处理器”由ARC International公司所开发,该类型处理器被广泛用于嵌入式系统、消费电子产品、汽车电子、工业控制等领域,包括固态硬盘的主控。请注意:这里的“ARC”是“Argonaut RISC Core” 的缩写,请大家不要和英特尔的ARC系列显卡相混淆。

打开网易新闻 查看精彩图片

言归正传,安全漏洞主要存在于主控的固件更新机制中,由于代码中缺乏足够、合理的验证,攻击者只要传递经过精心构造的非法数据,就可以造成主控缓冲区溢出。最终的结果是,固态硬盘可能会被挂起,无法正常读写,直到重启,或者使攻击者能够完全控制他们正在攻击的计算机和(或)程序。

英睿达MX500系列固态硬盘发布于2018年,包括250GB、500GB、1TB、2TB和4TB等多个版本,是一个老系列SATA接口的产品,预计受影响的用户群体非常多。

打开网易新闻 查看精彩图片

客观来说,对于广大普通用户来说,CVE-2024-42642漏洞基本可以忽略,因为攻击过程非常复杂,但是,对于商业和机构用户群体来说,这个问题非常值得重视。

目前, 英睿达尚未就CVE-2024-42642漏洞公开发表任何回应,其MX500系列固态硬盘(包括固件)的版本很多,具体哪些型号和版本受影响,目前并没有完全、准确的信息,这些信息有待英睿达方面日后公开披露。

预计英睿达近期将公开披露相关信息,发布适用于其MX500系列固态硬盘的新版固件,以修复这个安全漏洞,小编将在第一时间分享更多相关动态和爆料,敬请关注。