【活用ガイド】

JVNDB-2014-002801

複数製品の UEFI ファームウェアの実装に脆弱性

概要

複数製品の UEFI ファームウェアには、脆弱性が存在します。

複数製品の UEFI ファームウェアには、OS の API から UEFI の変数 'Setup' を改ざん可能な脆弱性が存在します。

詳しくは INTEL-SA-00038 をご確認ください。

INTEL-SA-00038
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00038&languageid=en-fr
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.0 (警告) [IPA値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 単一
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム

影響を受けるシステムは複数存在します。
詳しくは CERT/CC Vulnerability Note VU#758382 の Vendor Information をご確認ください。

(複数のベンダ)
  • (複数の製品)

MITRE は、使用している製品の BIOS が本脆弱性の影響を受けるか確認するためのツールとして Copernicus をリリースしています。
想定される影響

OS の管理者権限を持つユーザによって、UEFI の変数を改ざんされる可能性があります。
結果として、Secure Boot などのセキュリティ機能を回避されたり、製品に対してサービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
対策

各製品の開発者へ問い合わせ、対策方法をご確認ください。
ベンダ情報

インテル
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-2961
参考情報

  1. JVN : JVNVU#94501306
  2. US-CERT Vulnerability Note : VU#758382
  3. 関連文書 : MITRE
  4. 関連文書 : CanSecWest 2014
  5. 関連文書 : Hack-in-the-Box 2014
更新履歴

  • [2014年06月11日]
      掲載

公表日2014/06/09
登録日2014/06/11
最終更新日2014/06/11