Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Lenovoの一部製品にBIOSレベルの脆弱性 - 供給元に起因と説明

Lenovoの一部端末において、BIOSレベルの脆弱性が含まれていることがわかった。同社では調査を進めている。

セキュリティ研究者がゼロデイ脆弱性としてGithub上で報告し、ローカルアクセス権限を持つ攻撃者によってシステムマネジメントモード(SMM)でコードを実行されるおそれがあることが判明したもの。

同研究者は、ThinkPadで脆弱性を確認したとし、脆弱性を悪用すると、「Windows 10 Enterprise」においても、書き込み保護を無効化、セキュアブートの無効化、バーチャルセキュアモード(VSM)のバイパス、ファームウェアへのマルウェア感染などが可能になると指摘した。

これを受けてLenovoでは、研究者と協調しつつ独自にも調査を進めていると説明。同社は、外部ベンダー3社よりBIOSの供給を受けているが、BIOSのファームウェアの開発を手がける独立系のベンダー1社のBIOSに脆弱なシステムマネジメントモード(SMM)のコードが存在したとしている。

問題のシステムマネジメントモードは、ベンダーがIntelから提供された共通のコードベースをもとに開発されたものであると説明。Lenovoでは、今回問題となったSMMのコードを開発しておらず、コードの作成者や実装された経緯を調べているという。

Lenovoは、BIOSベンダーやIntelと脆弱性の修正に向けて作業を行っており、修正版の開発を急いでいる。

(Security NEXT - 2016/07/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

CAD製品のユーザー登録サイトに不正アクセス - エーアンドエー
元従業員が営業管理ツールで顧客情報を不正閲覧、営業利用 - システム開発会社
メール誤送信でモニターの個人情報が流出 - コタ
子会社の元従業員が顧客情報を持ち出し、すでに回収済み - DMG森精機
革製品販売サイトに不正アクセス - クレカ情報流出の可能性
メール誤送信で製品モニター応募者のメアド流出 - 大王製紙
5年前に終了したプリントゴッコ通販サイトに不正アクセス - 顧客情報が流出
ニコン通販サイト、12日間にわたり非暗号通信 - クレカ情報など送受信
不正アクセスで会員情報流出の可能性 - 椿本チエイン
案内メール誤送信で顧客のメアド流出 - マッサージチェアメーカー