タイムズスクエアの大晦日が薄暗く見えるほど、システムを美しいライトで彩るのが人々の趣味です。メーカーはユーザーがそれらのライトを操作できるようにする必要があるため、多くのメーカーが独自のRGBライティング管理ツールを導入しています。ところが今、ある研究者がAsus Aura SyncとGigabyteのライティング管理ツールによってインストールされるドライバーに脆弱性を発見し、このお祭り騒ぎを台無しにしました。
SecureAuth社によると、両社のドライバに存在する脆弱性は、ローカルの攻撃者が権限を昇格するために利用できる可能性があるとのことです。つまり、これらの脆弱性が悪用されてシステムに直接侵入することはないものの、既に標的のシステムにアクセスしている人物は、これらのRGB照明ツールを使ってシステムをさらに制御できるようになるということです。まるで、玄関のドアを破って金庫の鍵を見つけたようなもので、しかも1680万色で操作できるのです。
フアレス氏がSecureAuthに脆弱性をいつ伝えたかは不明だが、SecureAuthはASUSと2017年11月に、Gigabyteと2018年4月に最初のコンタクトを取ったと述べている。その後、両社と数ヶ月にわたりやり取りを重ねた。ASUSはその間、Aura Syncの複数のバージョンをリリースしたが、これらのバージョンは脆弱性を修正していないか、1つの脆弱性のみを修正していた。Gigabyteは最終的に、自社製品はこれらの脆弱性の影響を受けていないと発表した。
脆弱性の影響を受けることが確認された両社のユーティリティのバージョンは次のとおりです。
- ASUS Aura Sync v1.07.22 および以前のバージョン
- GIGABYTE APP Center v1.05.21 以前
- AORUS GRAPHICS ENGINE v1.33 以前
- XTREME GAMING ENGINE v1.25以前
- OC GURU II v2.08
SecureAuthは、他のバージョンもこれらの脆弱性の影響を受ける可能性があると指摘していますが、単に確認していないだけです。他のRGB照明プラットフォーム、あるいはこれらのプラットフォームで同様の脆弱性が発見されても驚かないでください。これらのユーティリティの人気が高まるほど、ハッカーにとって魅力的になり、現在、あらゆるものにRGBを追加しようとする動きは衰える兆しを見せていません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
