Intelは米国時間3月12日、「Windows」向けのグラフィックドライバに深刻度の高い脆弱性が複数存在しており、「特権昇格や、サービス拒否(DoS)攻撃、情報漏えいにつながるおそれがある」ことを明らかにした。
同社のセキュリティアドバイザリには、「Intelはこれらの潜在的な脆弱性(の影響)を緩和するために『Intel Graphics Driver for Windows』のアップデートをリリースする」と記されている。
このアップデートは同社のグラフィックドライバダウンロードページから入手可能だ。
今回のアップデートで対処された19件の脆弱性は、Intelの従業員や外部パートナーのほか、1件はTwitterで@j00seanと名乗るセキュリティリサーチャーによって報告されたという。
公表されたこれらドライバのセキュリティリスクを避けるために、「Windows 10」ユーザーはIntel Graphics Driver for Windowsのバージョンを「10.18.x.5059」(15.33.x.5059)や「10.18.x.5057」(15.36.x.5057)、「20.19.x.5063」(15.40.x.5063)、「21.20.x.5064」(15.45.x.5064)、「24.20.100.6373」にアップグレードするべきだとされている。
19件の脆弱性はすべて、2018年に脆弱性識別番号が割り当てられていたものだ。いずれの脆弱性を悪用するに場合も、ローカル環境へのアクセスが必要となる。
Intelはまた、「Intel Matrix Storage Manager」に存在する深刻度の高い脆弱性についても公表したが、パッチをリリースするのではなく、同製品をアンインストールする、あるいは使用を中止するようユーザーに呼びかけている。
同社のセキュリティアドバイザリページには、「Intelはこの潜在的な脆弱性を緩和するアップデートをリリースしておらず、Intel Matrix Storage Managerに対する『Product Discontinuation Notice』(製品の中止に関するお知らせ)を発行した」と記されている。
同社は、「『Intel Matrix Storage Manager 8.9.0.1023』および、それ以前のバージョンにおける不適切な権限設定によって、認証されたユーザーに対するローカル環境での特権昇格を許すおそれがある」と説明している。
同社はまた、「Intel USB 3.0 Creator Utility」のユーザーに対して、「すべてのバージョンは、認証済みのユーザーに対するローカル環境での特権昇格を許すおそれがある」ため、同製品の使用を中止するよう警告している。
さらに同社は、「Intel Software Guard Extension(SGX)」ソフトウェア開発キット(SDK)には、DoS攻撃や情報の漏えいにつながるおそれのある脆弱性が存在しているとして、ソフトウェアアップデートをリリースしている。
その脆弱性(「CVE-2019-0122」)は、Linux向け「Intel SGX SDK for Linux」のバージョン2.2よりも前の製品と、Windows向け「Intel SGX SDK for Windows」のバージョン2.1よりも前の製品に存在する、メモリの二重解放に関するものだ。この脆弱性により、「認証済みのユーザーに対するローカル環境での情報漏えいや、DoS攻撃を許すおそれがある」という。
同社は、Linux開発者に対してSGX SDK for Linuxのバージョン2.2以降へのアップデートを、Windowsを利用する開発者に対してはSGX SDK for Windowsのバージョン2.1以降へのアップデートを求めている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。