JVNDB-2016-006115

JVNDB-2016-006115
ThinkPad システムの BIOS 用署名付きカーネルドライバにおけるサービス運用妨害 (DoS) の脆弱性
概要
ThinkPad システムの BIOS 用署名付きカーネルドライバには、サービス運用妨害 (DoS) 状態にされる、または特定の BIOS の変数または設定 (ブートシーケンスなど) を変更される脆弱性が存在します。なお、BIOS パスワードの設定または変更は、本脆弱性の影響を受けません。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 4.4 (警告) [NVD値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 高利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 高 CVSS v2 による深刻度基本値: 4.7 (警告) [NVD値] 攻撃元区分: ローカル攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 全面的
影響を受けるシステム

Lenovo ThinkPad 10 (Ella-2) BIOS ThinkPad 11e (Beema) BIOS ThinkPad 11e (Braswell) BIOS ThinkPad 11e (Broadwell) BIOS ThinkPad 11e (Skylake) BIOS ThinkPad 13e BIOS ThinkPad E450 BIOS ThinkPad E450c BIOS ThinkPad E455 BIOS ThinkPad E460 BIOS ThinkPad E465 BIOS ThinkPad E550 BIOS ThinkPad E550c BIOS ThinkPad E555 BIOS ThinkPad E560 BIOS ThinkPad E565 BIOS ThinkPad Edge E440 BIOS ThinkPad Edge E445 BIOS ThinkPad Edge E540 BIOS ThinkPad Edge E545 BIOS ThinkPad Helix 20CG BIOS ThinkPad Helix 20CH BIOS ThinkPad L440 BIOS ThinkPad L450 BIOS ThinkPad L460 BIOS ThinkPad L540 BIOS ThinkPad L560 BIOS ThinkPad P50 BIOS ThinkPad P50s BIOS ThinkPad P70 BIOS ThinkPad S1 Yoga (Non-vPro) BIOS ThinkPad S1 Yoga (vPro) BIOS ThinkPad S1 Yoga 12 BIOS ThinkPad S3 Yoga 14 BIOS ThinkPad S3-S440 BIOS ThinkPad S5 Yoga 15 BIOS ThinkPad S5/E560p BIOS ThinkPad S540 BIOS ThinkPad T440 BIOS ThinkPad T440p BIOS ThinkPad T440s BIOS ThinkPad T440u BIOS ThinkPad T450 BIOS ThinkPad T450s BIOS ThinkPad T460 BIOS ThinkPad T460p BIOS ThinkPad T460s BIOS ThinkPad T540 BIOS ThinkPad T540p BIOS ThinkPad T550 BIOS ThinkPad T560 BIOS ThinkPad Tablet 10 BIOS ThinkPad Tablet 8 BIOS ThinkPad W540 BIOS ThinkPad W541 BIOS ThinkPad W550s BIOS ThinkPad X1 Carbon (20Ax) BIOS ThinkPad X1 Carbon (20Bx) BIOS ThinkPad X1 Carbon BIOS ThinkPad X1 Tablet BIOS ThinkPad X1 Yoga BIOS ThinkPad X140e (AMD) BIOS ThinkPad X240 BIOS ThinkPad X240s BIOS ThinkPad X250 (Broadwell) BIOS ThinkPad X250 (Sharkbay) BIOS ThinkPad X260 BIOS ThinkPad Yoga 11e (Beema) BIOS ThinkPad Yoga 11e (Braswell) BIOS ThinkPad Yoga 11e (Broadwell) BIOS ThinkPad Yoga 11e (Skylake) BIOS ThinkPad Yoga 11e BIOS ThinkPad Yoga 14 460 S3 BIOS ThinkPad Yoga 260 S1 BIOS ThinkPad 10 (Ella-2) ThinkPad 11e (Beema) ThinkPad 11e (Braswell) ThinkPad 11e (Broadwell) ThinkPad 11e (Skylake) ThinkPad 13e ThinkPad E450 ThinkPad E450c ThinkPad E455 ThinkPad E460 ThinkPad E465 ThinkPad E550 ThinkPad E550c ThinkPad E555 ThinkPad E560 ThinkPad E565 ThinkPad Edge E440 ThinkPad Edge E445 ThinkPad Edge E540 ThinkPad Edge E545 ThinkPad Helix 20CG ThinkPad Helix 20CH ThinkPad L440 ThinkPad L450 ThinkPad L460 ThinkPad L540 ThinkPad L560 ThinkPad P50 ThinkPad P50s ThinkPad P70 ThinkPad S1 Yoga (Non-vPro) ThinkPad S1 Yoga (vPro) ThinkPad S1 Yoga 12 ThinkPad S3 Yoga 14 ThinkPad S3-S440 ThinkPad S5 Yoga 15 ThinkPad S5/E560p ThinkPad S540 ThinkPad T440 ThinkPad T440p ThinkPad T440s ThinkPad T440u ThinkPad T450 ThinkPad T450s ThinkPad T460 ThinkPad T460p ThinkPad T460s ThinkPad T540 ThinkPad T540p ThinkPad T550 ThinkPad T560 ThinkPad Tablet 10 ThinkPad Tablet 8 ThinkPad W540 ThinkPad W541 ThinkPad W550s ThinkPad X1 Carbon ThinkPad X1 Carbon (20Ax) ThinkPad X1 Carbon (20Bx) ThinkPad X1 Tablet ThinkPad X1 Yoga ThinkPad X140e (AMD) ThinkPad X240 ThinkPad X240s ThinkPad X250 (Broadwell) ThinkPad X250 (Sharkbay) ThinkPad X260 ThinkPad Yoga 11e ThinkPad Yoga 11e (Beema) ThinkPad Yoga 11e (Braswell) ThinkPad Yoga 11e (Broadwell) ThinkPad Yoga 11e (Skylake) ThinkPad Yoga 14 460 S3 ThinkPad Yoga 260 S1
本脆弱性の影響を受ける製品の詳細については、ベンダ情報をご確認ください。
想定される影響
Windows の管理者レベルの権限を持つ攻撃者により、System Management Mode (SMM) サービスを呼び出されることで、サービス運用妨害 (DoS) 状態にされる、または特定の BIOS の変数または設定 (ブートシーケンスなど) を変更される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Lenovo Lenovo Security Advisory : LEN-8327
CWEによる脆弱性タイプ一覧 CWEとは?
不適切なアクセス制御(CWE-284) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2016-8222
参考情報
National Vulnerability Database (NVD) : CVE-2016-8222
更新履歴
[2016年12月07日] 掲載


公表日	2016/11/17
登録日	2016/12/07
最終更新日	2016/12/07

ThinkPad システムの BIOS 用署名付きカーネルドライバにおけるサービス運用妨害 (DoS) の脆弱性