本文首次对引导加载程序（bootloader）进行了全面、系统的内存安全分析。引导加载程序在启动过程中连接固件与操作系统，是安全启动链的关键环节，负责验证操作系统并加载其镜像。随着代码库增长，引导加载程序暴露了更多攻击面，近年来发现了大量内存安全漏洞，部分可导致拒绝服务甚至绕过安全启动保护。然而，此前缺乏针对引导加载程序的系统性内存安全研究。本文基于对以往漏洞的调研，分析了多种引导加载程序的潜在攻击面，发现来自存储设备、网络等外设的恶意输入是主要攻击方式。为帮助开发者规模化检测漏洞，作者设计并实现了一个引导加载程序模糊测试框架。实验在9个引导加载程序中发现了39个漏洞（38个为新漏洞），其中14个存在于广泛使用的Linux标准引导加载程序GRUB中，部分漏洞在恰当利用下可绕过安全启动；截至论文发表时已有5个漏洞分配了CVE编号。29个漏洞已被开发者确认或修复。作者将框架原型开源。该研究适合引导加载程序开发者、安全研究人员、系统安全工程师阅读。