パスワードを忘れた? アカウント作成
15331270 story
バグ

Dell の BIOS に脆弱性、129機種が影響を受ける 8

ストーリー by headless
更新 部門より
Dell は24日、BIOS 搭載の機能で発見された4件の脆弱性と影響を受ける129機種のリストを公表した(DSA-2021-106Eclypsium のブログ記事Phoronix の記事BetaNews の記事)。

CVE-2021-21571 は Dell の BIOSConnect 機能と HTTPS Boot 機能が利用する UEFI BIOS の HTTPS スタックに存在する不適切な証明書検証の脆弱性だ。リモートの認証されていない攻撃者が中間者攻撃を利用して脆弱性を悪用することで、サービス拒否およびペイロードのタンパリングにつながる可能性がある。

CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 は BIOSConnect 機能に存在するバッファーオーバーフローの脆弱性だ。ローカルでシステムにアクセス可能な認証されたユーザーがこの脆弱性を悪用することで、UEFI による制限を迂回して任意コードの実行が可能になる。

BIOSConnect は SupportAssist OS Recovery 機能を利用して BIOS 更新と OS の復旧を行う機能で、影響を受けるのは BIOSConnect 搭載機種の一部だという。HTTPS Boot は UEFI の HTTP Boot を利用してシステムを HTTP(S) サーバーからリモートブートする機能で、搭載機種は少ない。影響を受ける129機種のうち、HTTPS Boot を搭載しているのは46機種となっている。

いずれの脆弱性を悪用する場合も攻撃者は事前にユーザーのネットワークへ侵入し、Dell UEFI BIOS が信頼する証明書を取得するなどの準備が必要となり、システムに物理的アクセス可能なユーザーが各機能を使用するのを待つ必要があるとのこと。

CVE-2021-21573/CVE-2021-21574に関しては5月28日にサーバー側で修正が行われており、ユーザーが必要な操作はない。CVE-2021-21571/CVE-2021-21572に関しては BIOS 更新が必要となる。6月24日までに影響を受ける129機種すべてに対策版の BIOS 更新が提供されている。

Dellのプリインストールソフトウェアファームウェア更新プログラムではたびたび脆弱性が発見されているが、今回の脆弱性の影響を受けるのはWindowsに限らない。特にセキュアブートを無効化している場合は影響が大きくなるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年06月26日 15時27分 (#4058432)

    MicrosoftかGoogleが提供するようにならんかな

    • by Anonymous Coward

      UEFIは、Windows Updateで更新掛かるよ。

      • by Anonymous Coward

        メーカーがMicrosoft Update経由で提供するようにしてれば更新されるだけ。
        MicrosoftがUEFIの更新を提供してるわけじゃなく、あくまでもメーカーが用意するもの。
        まぁ、Surfaceの場合は、用意するのもMicrosoftだけど。

  • by Anonymous Coward on 2021年06月26日 16時12分 (#4058451)

    似たような脆弱性の報告に対して修正を拒否したメーカーもいるので

    • by Anonymous Coward

      おれのマザーボードは前のインテルCPUの脆弱性のときに更新が提供されなかった
      なぜか似た型番のHDMIがないものは現行機種だったのか提供されていた

  • by Anonymous Coward on 2021年06月26日 16時39分 (#4058461)

    ストーリー本文のEclypsiumの記事のリンクにUTMパラメータが含まれてる

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...