Lenovoの個人向けノート PC、セキュアブートを無効化可能な脆弱性

Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した(セキュリティアドバイザリー、ESET のツイート、Neowin の記事、Ars Technica の記事)。

発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。

一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。

これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | ノートPC

　関連ストーリー：
Pluton搭載Thinkpad Z13、デフォルトのファームウェア設定ではLinuxを起動できない 2022年07月11日
Lenovo幹部、中国向け製品にバックドアがあることを示唆 2018年09月21日
BIOS破損問題を修正したデスクトップ版Ubuntu 17.10.1のISOイメージが公開される 2018年01月14日