JVNDB-2013-003762
|
Dell の BIOS 更新処理にバッファオーバーフローの脆弱性
|
|
Dell が提供する複数の Latitude Laptop および Precision Mobile Workstation の BIOS 更新処理に、バッファオーバーフローの脆弱性が存在します。
Dell が提供する複数の Latitude Laptop および Precision Mobile Workstation では、BIOS 更新処理において、アップデートイメージの署名を検証した上で更新が行われます。この更新処理には、rbu_packet.pktNum および rbu_packet.pktSize の値に起因するバッファオーバーフローの脆弱性が存在します。本脆弱性を使用することで、署名の検証を回避し、細工された BIOS に更新することが可能になります。
|
|
CVSS v2 による深刻度
基本値: 7.6 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
デル
- Latitude D530
- Latitude D531
- Latitude D630
- Latitude D631
- Latitude D830
- Latitude E4200
- Latitude E4300
- Latitude E5400
- Latitude E5500
- Latitude E6400
- Latitude E6400 / ATG / XFR
- Latitude E6400 ATG
- Latitude E6500
- Latitude XT2
- Latitude Z600
- Precision M2300
- Precision M2400
- Precision M4300
- Precision M4400
- Precision M6300
- Precision M6400
- Precision M6500
|
詳しくは、開発者からの情報をご確認ください。
|
|
細工されたアップデータを実行させられることにより、rootkit や悪意あるコードが含まれる BIOS を書き込んでしまう可能性があります。
|
|
[アップデートする]
影響を受ける機器を使用しているユーザは、開発者サイトから適切な BIOS のアップデートを適用してください。
|
|
デル
|
|
- バッファエラー(CWE-119) [NVD評価]
|
|
- CVE-2013-3582
|
|
- JVN : JVNVU#95005184
- National Vulnerability Database (NVD) : CVE-2013-3582
- US-CERT Vulnerability Note : VU#912156
- US-CERT Vulnerability Note : Dell Computer Corporation, Inc. Information for VU#912156
- 関連文書 : MITRE | Cybersecurity | Cyber Depot:
|
|
- [2013年08月19日]
掲載
[2013年08月29日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
参考情報:National Vulnerability Database (NVD) (CVE-2013-3582) を追加
|
