Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Lenovoの一部製品にBIOSレベルの脆弱性 - 供給元に起因と説明

Lenovoの一部端末において、BIOSレベルの脆弱性が含まれていることがわかった。同社では調査を進めている。

セキュリティ研究者がゼロデイ脆弱性としてGithub上で報告し、ローカルアクセス権限を持つ攻撃者によってシステムマネジメントモード(SMM)でコードを実行されるおそれがあることが判明したもの。

同研究者は、ThinkPadで脆弱性を確認したとし、脆弱性を悪用すると、「Windows 10 Enterprise」においても、書き込み保護を無効化、セキュアブートの無効化、バーチャルセキュアモード(VSM)のバイパス、ファームウェアへのマルウェア感染などが可能になると指摘した。

これを受けてLenovoでは、研究者と協調しつつ独自にも調査を進めていると説明。同社は、外部ベンダー3社よりBIOSの供給を受けているが、BIOSのファームウェアの開発を手がける独立系のベンダー1社のBIOSに脆弱なシステムマネジメントモード(SMM)のコードが存在したとしている。

問題のシステムマネジメントモードは、ベンダーがIntelから提供された共通のコードベースをもとに開発されたものであると説明。Lenovoでは、今回問題となったSMMのコードを開発しておらず、コードの作成者や実装された経緯を調べているという。

Lenovoは、BIOSベンダーやIntelと脆弱性の修正に向けて作業を行っており、修正版の開発を急いでいる。

(Security NEXT - 2016/07/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

問合メールが流出、製品開発の委託先で - クオリティア
顧客向け案内メールで送信ミス - 美容健康器具メーカー
「NarSuS」利用者情報約6万件の流出確認 - アイ・オー・データ
アイ・オーNAS管理サービスへの不正アクセス、複数サーバに痕跡
NAS管理サービスのテストサーバに不正アクセス - アイ・オー・データ
在宅医療機器関連の個人情報、発送後所在不明に - フィリップス
サイバー攻撃の経緯や調査方法などを明らかに - 三菱電機
Avastのブラウザ拡張機能が大量のデータを収集 - 研究者から懸念の声
従業員による個人情報売却、国内顧客に影響なし - トレンドマイクロ
Trend Micro従業員が顧客情報を売却 - サポート詐欺に悪用