Razer は、SecureState 情報セキュリティ コンサルティング会社によって明らかにされた 2 つの脆弱性に対処するため、周辺機器構成ツールである Synapse にパッチを適用しました。
SecureStateの研究責任者であるスペンサー・マッキンタイア氏は、Tom's Hardwareの取材に対し、今年初めにプロプライエタリなファジングツール(ソフトウェアのコーディングエラーをチェックするツール)の開発中に、これらの脆弱性を発見したと語った。これらの脆弱性は3月にRazerに開示されたが、マッキンタイア氏によると、Twitterで連絡するまでRazerからの返答はなく、その後、別の情報開示システムを通じて発見内容を共有するよう求められたという。
マッキンタイア氏はその後、「彼らが尋ねたいくつかの質問に答え、自発的に技術的な詳細を提供し、バグを引き起こすための概念実証コードの共有を申し出た」と述べたが、Razerはこれを断った。SecureStateは90日間(非公開情報公開から公開情報公開までの標準的な期間)を待ってから、7月中旬に一連のブログ投稿で脆弱性を世界に公表した。RazerはまだSynapseのアップデートをリリースしていなかった。
SecureStateのブログ記事が公開された後、Razerに連絡を取りました。広報担当者は声明で、「Razerにとってセキュリティは最優先事項です。状況を確認し、解決策を特定し、来週中にソフトウェアアップデートで修正をリリースできるよう取り組んでいます」と述べました。これは7月19日のことでしたが、パッチは8月1日までリリースされませんでした。(ただし、ソフトウェアアップデートは遅れることが多いことには留意が必要です。)
McIntyre 氏は、これらの脆弱性がもたらす脅威について次のように説明しています。
CVE-2017-9769 で特定された脆弱性は、攻撃者やマルウェアによって悪用され、ユーザーのシステムを完全に侵害される可能性があるため、ユーザーにとって脅威となります。ユーザーがウェブサイトにアクセスしたり、悪意のあるメールを開いたりして何らかの感染が発生するシナリオを想像してみてください。この脆弱性は、ユーザーの権限の侵害からシステム全体の侵害に至るまで、様々な形で悪用される可能性があります。CVE-2017-9770 で特定された2つ目の脆弱性は、それほど脅威ではありません。ユーザーのコンピュータをクラッシュさせ、メモリリークを引き起こす可能性があります。この脆弱性の種類から、最初の脆弱性よりも効果的に攻撃に利用されることがはるかに困難です。
もっとひどい状況になっていた可能性もあった。マッキンタイア氏によると、どちらの脆弱性もシステムが既に侵害されていることを前提としており、Synapseの問題は、既に悪化していた状況をさらに悪化させるだけだったという。これは必ずしも良いニュースではないが、ソフトウェアが最初の攻撃に利用される可能性があった場合よりはましだ。フィッシングメールや悪質なリンクなどに警戒していれば、安全だったはずだ。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
それでも、この問題は、企業がセキュリティをますます重視しなければならないことを浮き彫りにしています。PCゲーマーは、マウス、キーボード、その他の周辺機器を設定できるSynapseのようなツール、MSI AfterburnerやEVGA Precision XOCのようなハードウェア監視ツール、そしてゲーム体験を充実させる無数のアプリなど、あらゆる種類のソフトウェアをインストールします。攻撃者は、被害者を見つけるために、これらすべてのツールを標的にする可能性があります。
SynapseのアップデートはRazerのウェブサイトからダウンロードできます。Razerに対し、これらの脆弱性について顧客に通知したかどうかを確認するため、詳細なパッチノートの提出を要請しましたが、ウェブサイトやフォーラムでは一切開示されておらず、まだ回答は得られていません。また、SecureStateに対し、アップデート版のSynapseを検査し、両方の脆弱性が解消されていることを確認したかどうかを問い合わせました。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
