JVNDB-2014-008146
|
UEFI EDK2 の Capsule Update 処理に複数の脆弱性
|
|
UEFI EDK2 の Capsule Update 処理には複数の脆弱性が存在します。
オープンソースのプロジェクト EDK2 は UEFI の参照実装を提供しています。EDK2 の Capsule Update 処理には、バッファオーバーフローの脆弱性 (CVE-2014-4859) と Write-what-where Condition (任意の場所に任意の値を書き込むことができる状態) の脆弱性 (CVE-2014-4860) が存在します。
|
|
|
|
|
Tianocore
|
|
|
当該製品にログイン可能なユーザによって、ファームウェアレベルで任意のコードを実行される可能性があります。その結果、ルートキットをインストールされたり、セキュアブートをバイパスされたりする可能性があります。
|
|
[アップデートする]
各開発者が提供する情報をもとに、適切な対策を行ってください。
|
|
Tianocore
|
|
|
|
- CVE-2014-4859
- CVE-2014-4860
|
|
- JVN : JVNVU#98509080
- National Vulnerability Database (NVD) : CVE-2014-4859
- National Vulnerability Database (NVD) : CVE-2014-4860
- US-CERT Vulnerability Note : VU#552286
- 関連文書 : Unified Extensible Firmware Interface Forum
|
|
|
