Verschillende fabrikanten komen met een fix voor een kwetsbaarheid in Grub2 die vrijwel alle apparaten met Secure Boot treft. Die kwetsbaarheid maakt het mogelijk om code uit te voeren tijdens het startproces, ook als Secure Boot aanstaat.
Het lek wordt BootHole genoemd en werd ontdekt door beveiligingsbedrijf Eclypsium. Het lek zit specifiek in Grub2, de Grand Unified Bootloader die door de meeste Linux-systemen wordt gebruikt. Ook Windows-systemen zijn kwetsbaar als die Secure Boot gebruiken waarbij Microsoft zelf optreedt als certificaatautoriteit, wat bij praktisch alle Windows-systemen het geval is. De kwetsbaarheid was volgens de onderzoekers op alle apparaten met Secure Boot uit te voeren, zelfs als Grub2 niet was ingeschakeld. De bug heeft code CVE-2020-10713 gekregen.
De kwetsbaarheid is vrij ernstig, met een CVSS-score van 8.2. Wel is ze in de praktijk lastig uit te buiten. Een aanvaller moet het grub.cfg-configuratiebestand aanpassen en heeft daarvoor in ieder geval roottoegang tot een systeem nodig. Door de grootte van een token in grub.cfg aan te passen kan een aanvaller een buffer overflow veroorzaken. Als er vervolgens malware wordt ingeladen, stopt de parser niet automatisch met uitvoeren zoals de bedoeling is, maar wordt die malware juist ingeladen tijdens het bootproces.
Nadat de onderzoekers hun bevindingen hadden doorgegeven aan verschillende fabrikanten, vonden die zelf nog andere kwetsbaarheden in Grub2. Ubuntu-ontwikkelaar Canonical heeft het over zeven kwetsbaarheden. Het gaat om andere buffer overflows en een use-after-free-kwetsbaarheid.
Tientallen fabrikanten van Linux-systemen hebben inmiddels patches uitgebracht. De meeste hebben daarvoor nieuwe Grub2-packages uitgebracht. Sommige ontwikkelaars zoals RedHat zeggen wel dat de praktische impact van de kwetsbaarheid meevalt.