Sponsored Contents

最新記事

Image credit:

レノボ製PCのBIOSにゼロデイ脆弱性発覚、修正プログラム準備中。インテル供給のリファレンスコードから混入の疑い

Munenori Taniguchi
2016年7月5日, 午前11:30 in Cr4Sh
889 シェア
320
420
0
149

連載

注目記事

Amazon Echo Dot速攻レビュー。スキル試行は最初のスマホ的な楽しさ、日本語周りは意外な弱点が

Amazon Echo Dot速攻レビュー。スキル試行は最初のスマホ的な楽しさ、日本語周りは意外な弱点が

View

人気記事

『どうぶつの森 ポケットキャンプ』配信開始。基本無料のスマホ版、通称『ポケ森』

『どうぶつの森 ポケットキャンプ』配信開始。基本無料のスマホ版、通称『ポケ森』

View

 
2015年のSuperfish問題も記憶に新しいレノボのPCに、また脆弱性が見つかりました。セキュリティ研究家Dymtro "Cr4sh" Oleksiuk氏がレノボ製PCのBIOSから発見したこの脆弱性は、外部から管理者権限でコードを実行できるとされます。

またこの脆弱性はインテルがBIOSメーカーに配布した共通コードベースから存在しており、HP Pavillionシリーズの一部からも発見されている模様です。

Oleksiuk氏は、脆弱性のあるBIOSのソースコードをGithubに公開し、これがインテルが書いた初期のBIOSサンプルからコピーされた部分であることを指摘しました。

一方、レノボは脆弱性の発見を受けてすぐにセキュリティ アドバイザリページを公開し、すでにセキュリティ研究者と接触して情報を収集しているとアピールしています。ただ、影響を受ける具体的な機種名などは記していません。

レノボによると、PCのBIOSは個別のBIOSメーカーが一から独自製作するわけではなく、まずインテルなりAMDなりのCPUメーカーが提供するリファレンスコードをベースに、各コンピューターのハードウェアに依存する部分のコードレイヤーを付け足す格好で開発されます。レノボ製PCのBIOSは、いくつかの独立系BIOSメーカーから供給を受けているとのこと。

この点に関しては、Oleksiuk氏の指摘とも一致しており、Oleksiuk氏の指摘の後で同じインテルのコードベースを使用したと考えられるHP Pavillionシリーズからも同じ脆弱性がみつかったとする報告がありました。
 


少し引っかかったのは、レノボはこの脆弱性が自分の知らないところで含まれたとしつつも、「誰がどんな目的で問題のコードを仕込んだのかについて特定を急ぐ」としているところ。確かに、問題のコードは意図的に仕込まれた可能性も否定はできないものの、普通に考えればそれを調べるのはインテルもしくはレノボに納品したBIOSメーカーの仕事のような気もします。

ともあれ、レノボは現在インテルおよびBIOSメーカーとともに修正版BIOSを準備中とのこと。ユーザーの立場からすれば、犯人探しよりもそちらを最優先でお願いしたいところです。

[Image : Andy Wong /AP]

889 シェア
320
420
0
149

Sponsored Contents