headless 曰く、
Acer は 11 月 24 日、個人向けノート PC 5 機種でセキュアブート設定を変更可能な脆弱性 CVE-2022-4020 が発見されたことを発表した
(Acer Community の記事、
ESET のツイート、
HackRead の記事)。この脆弱性は NVRAM 変数を作成することでセキュアブート設定を変更可能というものだ。変数の値は重要でなく、影響を受けるファームウェアのドライバーは変数の存在のみをチェックするのだという。影響を受けるのは Aspire A315-22 と A115-21、A315-22G、および Extensa EX215-21 と EX215-21G の計 5 機種。Acer では BIOS 更新プログラムの開発を進めており、準備ができ次第 Acer サポートサイトで公開する。
発見者の ESET によれば、脆弱性は DXE ドライバー HQSwSmiDxe に存在し、NVRAM 変数「BootOrderSecureBootDisable」を追加することで、ドライバーがセキュアブートを無効化するとのこと。ESET は Lenovo のノート PC でも同様の脆弱性を発見しているが、「BootOrderSecureBootDisable」は Lenovo の CVE-2022-3431 でセキュアブートを無効化する変数と同じ名前だ。
| セキュリティ
| バグ
| ノートPC
|
関連ストーリー:
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる
2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける
2021年06月26日
Windows 11はTPM 2.0が必須か。旧式PCにリーク版インストールで関連エラー
2021年06月18日
Source: スラッシュドット
