インテル、「NUC」のファームウェアと「RAID Web Console 3」の脆弱性に対処

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部 2019年06月13日 10時24分

  • このエントリーをはてなブックマークに追加
  • 印刷

 Intelは米国時間6月11日、「Intel Next Unit of Computing(NUC)」のファームウェアと、Windows向けの「Intel RAID Web Console 3(RWC3)」に潜んでいる深刻度の高い脆弱性に対処したことを明らかにした。

 同日にリリースされた一連のセキュリティアドバイザリーの多くは、さまざまな小型PCで利用されているNUCに関するものであり、RWC3に関するものは1件のみとなっている。

 NUCに関するセキュリティアドバイザリーによると、「Intel NUC Kit NUC8i3BEx」や「Intel Compute Stick STK2MV64CC」「Intel NUC Kit NUC5CPYH」「Intel Compute Card CD1IV128MK」を含む、NUCファームウェアを搭載する合計39の製品に影響があるという。

 1件目の脆弱性(「CVE-2019-11127」)は、バッファーオーバーフローの問題であり、ローカル環境から悪用された場合、権限昇格を許してしまう可能性があるというものだ。そして2件目の脆弱性(「CVE-2019-11128」)は、入力時の検証が不十分であるという問題であり、ローカル環境から悪用された場合に権限昇格を許してしまうだけでなく、サービス拒否(DoS)や情報の漏えいを引き起こす可能性があるというもの。これらはいずれも共通脆弱性評価システム(CVSS)の深刻度レベルで8.2(最高は10.0)という、重要(critical)に分類される脆弱性となっている。

 この他にもCVSSの深刻度レベルで7.5(重要)と分類されている5件の脆弱性が挙げられている。それらは、セッションの検証が不十分であるという脆弱性が1件(「CVE-2019-11123」)と、領域外での読み込みと書き込み(OOB R/W)における脆弱性が2件(「CVE-2019-11124」と「CVE-2019-11129」)、不十分な入力時検証という脆弱性が1件(「CVE-2019-11125」)、ポインター破損に関する脆弱性が1件(CVE-2019-11126)となっている。

 パッチを適用しなければ、これらの脆弱性によって権限の昇格やDoS攻撃、情報の漏えいが引き起こされるおそれもある。とは言うものの、攻撃者がこれらの脆弱性を悪用した攻撃を実行するにあたっては、まずユーザーレベルの権限を有するアカウントへのアクセスを確保しておく必要がある。

 なお、これら7件の脆弱性はすべて、NUCのファームウェアに対する最新のアップデートで対処されている。

 なお、同社はRWC3に関するセキュリティアドバイザリーで、Windows向けRWC3のバージョン4.186とそれ以前に影響を与えるセキュリティ脆弱性(「CVE-2019-11119」)の詳細を公開した

 Intelによると、RWC3のサービスAPIにおけるセッション検証が不足していることで、「権限を持たないユーザーに対して、ネットワークアクセス経由で権限昇格を許してしまう可能性がある」という。なお、この脆弱性の深刻度レベルは8.9と評価されている。

 Intelはこれら脆弱性の発見/報告者であるAlexander Ermolov氏とRuslan Zakirov氏、Malyutin Maksim氏に謝意を表している。

 なおIntelは4月に、「スポイラー」攻撃とリサーチャーらが呼んでいる攻撃を許す脆弱性(「CVE-2019-0162」)に関するアドバイザリーを発行している。この攻撃はIntelプロセッサーのメモリーシステムに内在している弱点を突くものであり、悪用することで仮想メモリーアドレスから物理メモリーアドレスへのマッピング情報を得ることを可能にするというものだ。

 研究者チームの説明によると、「このセキュリティホールは限られた命令セットによって悪用可能で、命令セットは第1世代の『Intel Core』プロセッサから始まるIntelの全世代で確認できる」とされる。

 Intelは「このような問題についてはサイドチャネルの安全を確保するためのソフトウェア開発手法を採用することでソフトウェアを保護できる」と述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]