Microsoftが独自のAIツールであるSecurity Copilotを活用した新たな分析手法で、GRUB2・U-Boot・bareboxなどのオープンソースのブートローダーに新たな脆弱(ぜいじゃく)性を発見したと報告しています。この取り組みは、セキュリティ分野でのAI活用の一環で、特にファームウェアやブートローダーのような、通常のセキュリティスキャンでは見落とされがちな低レベルソフトウェアの分析に焦点を当てています。

Analyzing open-source bootloaders: Finding vulnerabilities faster with AI | Microsoft Security Blog

https://www.microsoft.com/en-us/security/blog/2025/03/31/analyzing-open-source-bootloaders-finding-vulnerabilities-faster-with-ai/



Microsoft uses AI to find flaws in GRUB2, U-Boot, Barebox bootloaders

https://www.bleepingcomputer.com/news/security/microsoft-uses-ai-to-find-flaws-in-grub2-u-boot-barebox-bootloaders/

Micorsoftは、オープンソースのブートローダーであるGRUB2、U-Boot、Bareboxにおいて、これまで未発見だった脆弱性を特定したと述べています。​発見された脆弱性20件が以下。

 脆弱性GRUB2 
 CVE-2024-56737 HFSのstrcpyによるバッファオーバーフローCVE-2024-56738定数時間で動作しない暗号比較によるサイドチャネル攻撃CVE-2025-0677UFSのシンボリックリンク処理での整数オーバーフローCVE-2025-0678Squash4の読み取りでのバッファオーバーフローCVE-2025-0684ReiserFSのシンボリックリンク処理でのオーバーフローCVE-2025-0685JFSのシンボリックリンク処理でのオーバーフローCVE-2025-0686RomFSのシンボリックリンク処理でのオーバーフローCVE-2025-0689UDFブロック処理の範囲外読み取りCVE-2025-0690readコマンドにおける範囲外書き込みCVE-2025-1118dumpコマンドによる任意メモリ読み取りCVE-2025-1125HFS圧縮ファイルオープン時のバッファオーバーフローU-BootCVE-2025-26726SquashFSディレクトリテーブル解析のバッファオーバーフローCVE-2025-26727SquashFS inode解析のバッファオーバーフローCVE-2025-26728SquashFSネストファイル読み取りのオーバーフローCVE-2025-26729EroFSシンボリックリンク処理のバッファオーバーフローBareboxCVE-2025-26721ファイル作成時のストレージにおけるバッファオーバーフローCVE-2025-26722SquashFSのシンボリックリンク解決時のオーバーフローCVE-2025-26723EXT4のシンボリックリンク解決時のオーバーフローCVE-2025-26724CramFSのシンボリックリンク解決時のオーバーフローCVE-2025-26725JFFS2のディレクトリエントリ解析時のバッファオーバーフロー

特にGRUB2では、ファイルシステムパーサーにおける整数オーバーフローやバッファオーバーフロー、コマンド処理の欠陥、暗号比較におけるサイドチャネル攻撃の可能性など、11件の脆弱性が明らかになりました。



また、U-BootとBareboxでは、SquashFS、EXT4、CramFS、JFFS2といったファイルシステムやシンボリックリンクの解析時に生じるバッファオーバーフローが発見されました。​これらの脆弱性は、物理的なアクセスが必要とされるものの、特定の条件下でUEFIセキュアブートを回避し、任意のコードを実行されるリスクがあります。

Micorsoftはこれらの脆弱性を発見するために、CodeQLなどの静的コード解析ツールやGRUB2エミュレーターを用いたファジング、手動でのコード解析、そして独自のAIツールであるSecurity Copilotを組み合わせたことを明らかにしました。Microsoftは「​Security Copilotは、ネットワーク、ファイルシステム、暗号署名といった領域における潜在的な脆弱性を特定するのに有効であることが示された」と論じています。



なお、報告された脆弱性は、オープンソースコミュニティと連携して報告され、修正が進められているとのこと。Microsoftは、ユーザーや開発者に対して、関連するセキュリティアップデートを適用し、システムの安全性を確保することを推奨しています。