Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した
(セキュリティアドバイザリー、
ESET のツイート、
Neowin の記事、
Ars Technica の記事)。
発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。
一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。
これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。
| セキュリティ
| バグ
| ノートPC
|
関連ストーリー:
Pluton搭載Thinkpad Z13、デフォルトのファームウェア設定ではLinuxを起動できない
2022年07月11日
Lenovo幹部、中国向け製品にバックドアがあることを示唆
2018年09月21日
BIOS破損問題を修正したデスクトップ版Ubuntu 17.10.1のISOイメージが公開される
2018年01月14日
LenovoのPCにスパイウェアがプリインストールされているという疑惑がまた出る
2015年09月28日
Lenovo、ノートPCにWindowsを再インストールしても復活するダウンローダを仕込んでいた
2015年08月13日
ThinkPadなどのLenovo製品の利用を禁じる政府機関
2013年07月31日
Source: スラッシュドット
