G.O.S.S.I.P 阅读推荐 2025-05-06 温故而知新

文章预览

5月的第一期阅读推荐，又是我们的“G.O.S.S.I.P与朋友”环节。今天介绍的这篇NDSS 2025论文  A Comprehensive Memory Safety Analysis of Bootloaders  的第一作者王健强在2019年作为G.O.S.S.I.P成员时就设计并实现了一套基于NLP的内存安全漏洞检测系统 NLP-Eye ，并启发了后来的Goshawk系统。在今天这篇论文中，他和其他论文作者一起研究了Bootloader这一特殊软件的内存问题： 这篇论文的基本思路就是中国的一句古话——温故而知新。作者首先去调查了此前跟Bootloader相关的CVE，以此作为历史的经验教训，然后去想办法开发漏洞检测工具。所以我们要先看看到底历史上和Bootloader相关的CVE到底有哪些： 作者对收集到的85个CVE进行了分类，通过下图我们可以看到，这些安全漏洞涉及到了非常多  乱七八糟  的功能（你一个Bootloader你去解析图像连接网络干嘛……），可以看到Bootl ………………………………