「Surface Pro 3」にセキュアブート回避の脆弱性 - 他社機器も影響を受ける可能性
マイクロソフトは、「Surface Pro 3」にセキュアブートをバイパスされる脆弱性が存在することを明らかにした。他社デバイスも影響を受ける可能性があるという。
「Surface Pro 3」において、デバイスとソフトウェアの構成に関する情報を記録する「プラットフォーム構成レジスタ(PCR)」を拡張することが可能となる脆弱性「CVE-2021-42299」が存在することを明らかにしたもの。ブートプロセスにおいて「PCR」をチェックすることで、デバイスの状態を判断するが、脆弱性を悪用することで問題ないデバイスであると偽装できるという。
同社は、重要度を上から2番目にあたる「重要(Important)」とし、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「5.6」とレーティングした。脆弱性の悪用や公表は確認されていない。脆弱性の悪用可能性指標は「悪用される可能性は低い」としている。
アップデートは公開されておらず、脆弱性を悪用するには、端末へ物理的にアクセスするか、ユーザーの認証情報を取得する必要があるとして、デバイスへの物理的なアクセスを防ぐよう求めている。
同社は脆弱性が存在するデバイスとして「Surface Pro 3」を挙げており、「Surface Pro 4」「Surface Book」は影響を受けない。一方、同社以外のデバイスにおいても同様の「BIOS」を使用している場合は、同脆弱性の影響を受ける可能性があるとしている。
(Security NEXT - 2021/10/19 )
ツイート
関連リンク
PR
関連記事
「Active! mail」に深刻な脆弱性、すでに悪用も - 侵害確認方法を調査中
米政府、WindowsやApple複数製品の脆弱性悪用に注意喚起
Dell「PowerScale OneFS」に深刻な脆弱性 - 乗っ取りリスクも
リモートアクセス製品「SonicWall SMA100」の既知脆弱性が標的に
「Chrome」に2件の脆弱性 - 重要度「クリティカル」も
「Omnissa UAG」にCORSバイパスの脆弱性 - アップデートを公開
Apple、「macOS Sequoia 15.4.1」をリリース - 脆弱性2件へ対処
ASUS製ルータの脆弱性、ベンダー発表以上に高リスク - 国内外で被害拡大
Apple、「iOS 18.4.1」「iPadOS 18.4.1」を公開 - ゼロデイ脆弱性を修正
「Apache Roller」にPW変更後もログインセッションが破棄されない脆弱性