パスワードを忘れた? アカウント作成
16314858 story
バグ

セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる 5

ストーリー by nagazou
発見 部門より
headless 曰く、

Acer は 11 月 24 日、個人向けノート PC 5 機種でセキュアブート設定を変更可能な脆弱性 CVE-2022-4020 が発見されたことを発表した (Acer Community の記事ESET のツイートHackRead の記事)。

この脆弱性は NVRAM 変数を作成することでセキュアブート設定を変更可能というものだ。変数の値は重要でなく、影響を受けるファームウェアのドライバーは変数の存在のみをチェックするのだという。影響を受けるのは Aspire A315-22 と A115-21、A315-22G、および Extensa EX215-21 と EX215-21G の計 5 機種。Acer では BIOS 更新プログラムの開発を進めており、準備ができ次第 Acer サポートサイトで公開する。

発見者の ESET によれば、脆弱性は DXE ドライバー HQSwSmiDxe に存在し、NVRAM 変数「BootOrderSecureBootDisable」を追加することで、ドライバーがセキュアブートを無効化するとのこと。ESET は Lenovo のノート PC でも同様の脆弱性を発見しているが、「BootOrderSecureBootDisable」は Lenovo の CVE-2022-3431 でセキュアブートを無効化する変数と同じ名前だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...