Intel、リモートキーボードアプリのバグ修正を断念
2018年4月12日 10:45
headless曰く、 IntelがNUCやCompute Stickのユーザー向けに提供しているモバイルアプリ「Intel Remote Keyboard」に深刻な脆弱性が見つかったのだが、Intelではバグを修正せずにアプリの提供を打ち切り、既存ユーザーにはアンインストールを推奨している(INTEL-SA-00122、BetaNews、Softpedia、HackRead)。
Intel Remote KeyboardはホストアプリをインストールしたNUC/Compute StickにAndroid/iOSデバイスをWi-Fiで接続し、キーボード/マウスとして利用可能にするアプリ。発見された脆弱性は3件で、いずれも全バージョンに影響する特権昇格の脆弱性だ。
CVE-2018-3641はネットワーク上の攻撃者がローカルユーザーとしてキーストロークをインジェクトできるというもので、CVSS v3スコアは9.0(深刻度:緊急)。CVE-2018-3645はローカルの攻撃者が別のリモートキーボードセッションにキーストロークをインジェクト可能、CVE-2018-3638はローカルの攻撃者が特権ユーザーとして任意コードを実行可能というもので、いずれもCVSS v3による深刻度は「重要」となっている。
既にGoogle PlayとApp Storeの該当ページは削除され、ホストアプリもIntel Download Centerから削除されている。一方、Intel Remote Keyboardの紹介ページ自体は残されており、ユーザーガイドもダウンロード可能だ。