专精韌體与软件供應鏈安全的研究机构 Binarly 在近期披露:全球广泛使用的开机载入程式 U-Boot(开机引导程序)已被发现存在 6 个安全漏洞,影响范围可能远超单一设备。Binarly 指出,其中两项漏洞(BRLY-2026-037、BRLY-2026-038)存在被利用后造成“任意代码执行”的风险;另外四项漏洞(BRLY-2026-039、BRLY-2026-042)更偏向拒绝服务场景,可能导致设备服务中断(DoS)。
更令人警惕的是,U-Boot 自 2013 年 7 月推出以来,近 60 个版本都被卷入这次问题。若进一步把下游厂商基于 U-Boot 发展的分支版本纳入考量,真实受影响的资产规模将会更大。原因也很现实:U-Boot 是全球最常见的启动加载器之一,运行位置遍布多类硬体设备,包括家用路由器、网络摄像机,以及服务器的基板管理控制器(BMC)等。这意味着,一旦供应链中的某个环节被植入恶意利用路径,风险可能扩散到大量“看似不相关”的终端与网络设备。
Binarly 已完成与 U-Boot 维护社群的通报工作,并针对这些漏洞准备了修补程式。经过多轮审查后,相关修补已被合并进入 U-Boot 项目的主分支(main branch)。研究机构建议已部署或仍在使用受影响版本的用户,尽快将修补程式回填到产品固件或相关启动组件中,以降低被攻击面。
时间点同样值得注意。尽管 U-Boot 在 6 月已合并了 6 个修补动作,但据后续发布节奏影响,部分修补可能尚未出现在特定发行版中。也就是说,企业不仅要确认“有没有打更新”,还要核对版本发布周期与实际已纳入的补丁情况,才能确保修复真的落地到生产环境。对依赖 U-Boot 的路由、监控与 BMC 用户来说,现在就做资产盘点与补丁验证,往往比等待下一轮统一发布更稳妥。