公開日:2014/06/10 最終更新日:2014/06/10
JVNVU#94501306
複数製品の UEFI ファームウェアの実装に脆弱性
複数製品の UEFI ファームウェアには、脆弱性が存在します。
影響を受けるシステムは複数存在します。
詳しくは CERT/CC Vulnerability Note VU#758382 の Vendor Information をご確認ください。
MITRE は、使用している製品の BIOS が本脆弱性の影響を受けるか確認するためのツールとして Copernicus をリリースしています。
複数製品の UEFI ファームウェアには、OS の API から UEFI の変数 'Setup' を改ざん可能な脆弱性が存在します。
詳しくは INTEL-SA-00038 をご確認ください。
OS の管理者権限を持つユーザによって、UEFI の変数を改ざんされる可能性があります。
結果として、Secure Boot などのセキュリティ機能を回避されたり、製品に対してサービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
各製品の開発者へ問い合わせ、対策方法をご確認ください。
| ベンダ | リンク |
| Intel | Enhanced Protection of UEFI Variables |
-
CERT/CC Vulnerability Note VU#758382
Unauthorized modification of UEFI variables in UEFI systems -
MITRE
Copernicus: Question Your Assumptions about BIOS Security -
CanSecWest 2014
All Your Boot Are Belong To Us -
Hack-in-the-Box 2014
Setup for Failure: More Ways to Defeat SecureBoot
2014.06.10における脆弱性分析結果(CVSS Base Metrics)
| 評価尺度 | 評価値 | 説明 | ||
|---|---|---|---|---|
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | 物理アクセスやローカル環境から攻撃可能 |
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に複雑な条件が必要 |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 単一の認証が必要 |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 全ての情報が漏えいする |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さが全面的に損なわれる |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用が全面的に阻害される |
Base Score:6.0
