インテル、「NUC」のファームウェアと「RAID Web Console 3」の脆弱性に対処

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2019-06-13 10:24

 Intelは米国時間6月11日、「Intel Next Unit of Computing(NUC)」のファームウェアと、Windows向けの「Intel RAID Web Console 3(RWC3)」に潜んでいる深刻度の高い脆弱性に対処したことを明らかにした。

 同日にリリースされた一連のセキュリティアドバイザリーの多くは、さまざまな小型PCで利用されているNUCに関するものであり、RWC3に関するものは1件のみとなっている。

 NUCに関するセキュリティアドバイザリーによると、「Intel NUC Kit NUC8i3BEx」や「Intel Compute Stick STK2MV64CC」「Intel NUC Kit NUC5CPYH」「Intel Compute Card CD1IV128MK」を含む、NUCファームウェアを搭載する合計39の製品に影響があるという。

 1件目の脆弱性(「CVE-2019-11127」)は、バッファーオーバーフローの問題であり、ローカル環境から悪用された場合、権限昇格を許してしまう可能性があるというものだ。そして2件目の脆弱性(「CVE-2019-11128」)は、入力時の検証が不十分であるという問題であり、ローカル環境から悪用された場合に権限昇格を許してしまうだけでなく、サービス拒否(DoS)や情報の漏えいを引き起こす可能性があるというもの。これらはいずれも共通脆弱性評価システム(CVSS)の深刻度レベルで8.2(最高は10.0)という、重要(critical)に分類される脆弱性となっている。

 この他にもCVSSの深刻度レベルで7.5(重要)と分類されている5件の脆弱性が挙げられている。それらは、セッションの検証が不十分であるという脆弱性が1件(「CVE-2019-11123」)と、領域外での読み込みと書き込み(OOB R/W)における脆弱性が2件(「CVE-2019-11124」と「CVE-2019-11129」)、不十分な入力時検証という脆弱性が1件(「CVE-2019-11125」)、ポインター破損に関する脆弱性が1件(CVE-2019-11126)となっている。

 パッチを適用しなければ、これらの脆弱性によって権限の昇格やDoS攻撃、情報の漏えいが引き起こされるおそれもある。とは言うものの、攻撃者がこれらの脆弱性を悪用した攻撃を実行するにあたっては、まずユーザーレベルの権限を有するアカウントへのアクセスを確保しておく必要がある。

 なお、これら7件の脆弱性はすべて、NUCのファームウェアに対する最新のアップデートで対処されている。

 なお、同社はRWC3に関するセキュリティアドバイザリーで、Windows向けRWC3のバージョン4.186とそれ以前に影響を与えるセキュリティ脆弱性(「CVE-2019-11119」)の詳細を公開した

 Intelによると、RWC3のサービスAPIにおけるセッション検証が不足していることで、「権限を持たないユーザーに対して、ネットワークアクセス経由で権限昇格を許してしまう可能性がある」という。なお、この脆弱性の深刻度レベルは8.9と評価されている。

 Intelはこれら脆弱性の発見/報告者であるAlexander Ermolov氏とRuslan Zakirov氏、Malyutin Maksim氏に謝意を表している。

 なおIntelは4月に、「スポイラー」攻撃とリサーチャーらが呼んでいる攻撃を許す脆弱性(「CVE-2019-0162」)に関するアドバイザリーを発行している。この攻撃はIntelプロセッサーのメモリーシステムに内在している弱点を突くものであり、悪用することで仮想メモリーアドレスから物理メモリーアドレスへのマッピング情報を得ることを可能にするというものだ。

 研究者チームの説明によると、「このセキュリティホールは限られた命令セットによって悪用可能で、命令セットは第1世代の『Intel Core』プロセッサから始まるIntelの全世代で確認できる」とされる。

 Intelは「このような問題についてはサイドチャネルの安全を確保するためのソフトウェア開発手法を採用することでソフトウェアを保護できる」と述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]