Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Lenovoの一部製品にBIOSレベルの脆弱性 - 供給元に起因と説明

Lenovoの一部端末において、BIOSレベルの脆弱性が含まれていることがわかった。同社では調査を進めている。

セキュリティ研究者がゼロデイ脆弱性としてGithub上で報告し、ローカルアクセス権限を持つ攻撃者によってシステムマネジメントモード(SMM)でコードを実行されるおそれがあることが判明したもの。

同研究者は、ThinkPadで脆弱性を確認したとし、脆弱性を悪用すると、「Windows 10 Enterprise」においても、書き込み保護を無効化、セキュアブートの無効化、バーチャルセキュアモード(VSM)のバイパス、ファームウェアへのマルウェア感染などが可能になると指摘した。

これを受けてLenovoでは、研究者と協調しつつ独自にも調査を進めていると説明。同社は、外部ベンダー3社よりBIOSの供給を受けているが、BIOSのファームウェアの開発を手がける独立系のベンダー1社のBIOSに脆弱なシステムマネジメントモード(SMM)のコードが存在したとしている。

問題のシステムマネジメントモードは、ベンダーがIntelから提供された共通のコードベースをもとに開発されたものであると説明。Lenovoでは、今回問題となったSMMのコードを開発しておらず、コードの作成者や実装された経緯を調べているという。

Lenovoは、BIOSベンダーやIntelと脆弱性の修正に向けて作業を行っており、修正版の開発を急いでいる。

(Security NEXT - 2016/07/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

子会社の事務所倉庫で顧客情報含む伝票が所在不明に - 村田機械
事業者向けDIY通販サイトに不正アクセス - サービス開始から約2週間で被害
富士通クラウドサービスへの攻撃 - 侵入の痕跡見つかる
高齢者支援施設名乗る不審メール出回るもマルウェア感染確認されず - 仙台市
カーパーツショップに不正アクセス - クレカ情報が流出
健康産業支援施設サイトで個人情報が閲覧可能に - 山口県
経済同友会、複数端末に不正アクセス - サーバのアラート契機に発覚
セルフケア向け製品サイトで個人情報を誤表示 - エーザイ
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん
バイク関連製品通販サイトで個人情報流出のおそれ - 3Dセキュアも