オープンソースのUEFI実装プロジェクトである「EDK2（EDK II）」で、ファームウェアの更新用UEFIアプリケーションに脆弱性が発見され、告知が行われています：

• UEFI参照実装のカプセルアップデートに脆弱性 – 影響範囲が広大 – マイナビニュース
• 【セキュリティ ニュース】UEFIの実装に用いる「EDK2」に脆弱性 – ルートキット混入やセキュアブート回避のおそれ – Security NEXT
• JVNVU#98509080 UEFI EDK2 の Capsule Update 処理に複数の脆弱性 – Japan Vulnerability Notes
• Vulnerability Note VU#552286 – UEFI EDK2 Capsule Update vulnerabilities – The CERT Division | SEI | CMU

EDK IIには、ファームウェアの更新に関する処理にバッファオーバーフローの脆弱性および任意の場所に任意の値を書き込める脆弱性の2つが存在しており、このために該当UEFI搭載製品に触れることができるユーザーによって、ファームウェア（UEFI）レベルで任意のコードを実行されたり、ファームウェアが改ざんされる恐れがあるというものです。結果としてマルウェア（ルートキットなど）がインストールされたり、セキュア・ブートなどの保護機構が無効化されたりする可能性があります。

この影響範囲にはピンとこない人も多いかと思いますが、UEFIのリファレンス・インプリメンテーションに見つかった問題だけに、広範囲の製品に影響があります。読者のみなさんのお使いの各種製品にも影響している可能性がありますので、確認することをお勧めします。

ちなみに、この「さかきけいのメモ」でよく取り上げている「Intel Galileoボード」に関しては、Gen 1およびGen 2ともに影響を受けるはずです。今後、修正されたファームウェアが提供されるものと思われます。しかし、なんというか、アップデート機構自体の問題なので、このファームウェアの更新で地雷を踏んでしまうと余計にたちが悪いので、必ず一時配布先から更新用のファームウェアは入手するようにすべきです。

この脆弱性は、OSやミドルウェアに見つかるタイプの脆弱性よりは攻撃を受けにくいだろうとは思います。評価レベルについては、リンク一覧の最後のページ（CERTのページ）に記載があります。