オープンソースのUEFI実装EDK IIに脆弱性が発見される

オープンソースのUEFI実装プロジェクトである「EDK2(EDK II)」で、ファームウェアの更新用UEFIアプリケーションに脆弱性が発見され、告知が行われています:

EDK IIには、ファームウェアの更新に関する処理にバッファオーバーフローの脆弱性および任意の場所に任意の値を書き込める脆弱性の2つが存在しており、このために該当UEFI搭載製品に触れることができるユーザーによって、ファームウェア(UEFI)レベルで任意のコードを実行されたり、ファームウェアが改ざんされる恐れがあるというものです。結果としてマルウェア(ルートキットなど)がインストールされたり、セキュア・ブートなどの保護機構が無効化されたりする可能性があります。

この影響範囲にはピンとこない人も多いかと思いますが、UEFIのリファレンス・インプリメンテーションに見つかった問題だけに、広範囲の製品に影響があります。読者のみなさんのお使いの各種製品にも影響している可能性がありますので、確認することをお勧めします。

ちなみに、この「さかきけいのメモ」でよく取り上げている「Intel Galileoボード」に関しては、Gen 1およびGen 2ともに影響を受けるはずです。今後、修正されたファームウェアが提供されるものと思われます。しかし、なんというか、アップデート機構自体の問題なので、このファームウェアの更新で地雷を踏んでしまうと余計にたちが悪いので、必ず一時配布先から更新用のファームウェアは入手するようにすべきです。

この脆弱性は、OSやミドルウェアに見つかるタイプの脆弱性よりは攻撃を受けにくいだろうとは思います。評価レベルについては、リンク一覧の最後のページ(CERTのページ)に記載があります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です