2019年4月8日午後12時45分(太平洋標準時)更新: Razer社は本日、この脆弱性について声明を発表し、問題を認識していることを確認しました。同社は、2016年以降に発売されたノートパソコン向けに、この問題を解決できるアップデートをリリースしたと述べています。一方、2016年以前に発売されたデバイスについては、「ソフトウェアツールを開発中で、数週間以内に利用可能になる予定」としています。また、懸念のある顧客はウェブサイトからRazerサポートに連絡するよう呼びかけています。
スワイプして水平にスクロールします
| デバイス | 製品コード |
| レイザーブレード | RZ09-01021、RZ09-01161、RZ09-01301、RZ09-01652、RZ09-01952、RZ09-01953、RZ09-02385、RZ09-02386、RZ09-02886、RZ09-02705 |
| レイザーブレード ステルス | RZ09-01682、RZ09-01962、RZ09-01963、RZ09-01964、RZ09-02393、RZ09-02394、RZ09-02810、RZ09-02812 |
| レイザーブレードプロ | RZ09-0071、RZ09-0083、RZ09-0099、RZ09-01171、RZ09-01662、RZ09-01663、RZ09-02202 |
オリジナル記事、2019年4月7日午前7時20分(太平洋標準時)
Razer のノートパソコン所有者にとっては悪いニュースだ。同社の最新リリースのいくつかは依然として、マルウェアが再起動、ハードドライブの消去、その他のデバイスからの削除の試みに耐えられる可能性がある欠陥に対して脆弱である。
この脆弱性は、製造モードが有効になっているMacのファームウェアを攻撃者が変更できるCVE-2018-4251と同一であると言われています。その名前が示すように、製造モードは、しばしば批判されるIntel Management Engineの一部であり、デバイスが消費者に届く前に無効化されることが想定されています。
Appleは、2018年3月にリリースされたmacOS High Sierra 10.13.4でCVE-2018-4251の修正をリリースしました。この脆弱性は2018年6月まで公表されていませんでした。つまり、Appleはほとんどのハッカーが知る前に(願わくば)この問題に対処していたことになります。問題は表面化する前に修正されたかのようでした。
その後、3月にセキュリティ研究者のベイリー・フォックス氏は、「Razerには、SPIフラッシュがフルリード/ライトモードに設定され、Intel CPUがME製造モードのままになっている現行のノートパソコンすべてに影響を及ぼす脆弱性がある」と発言しました。フォックス氏は3月21日にこの問題をTwitterで公表し、The Register紙は先週このツイートを発見しました。
フォックス氏はFull Disclosureに関する勧告の中で、この脆弱性により「攻撃者はIntel Boot Guardでルートキットを防御したり、BIOSをダウングレードしてMeltdownなどの古い脆弱性を悪用したり、その他多くのことを実行できるようになる」と述べています。これらは、2,000ドルのノートパソコンをドライバーで破壊しようとするような問題です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ExtremeTechによると、Razerはこの問題を認識しており、この脆弱性を修正するファームウェアアップデートをリリースしており、今後は製造モードが有効になっているノートパソコンを出荷しないとのこと。ただし、既に脆弱性が発見されたデバイスは、このファームウェアアップデートでは改善されません。うまくいくことを祈りましょう。
朗報もあります。もしこの脆弱性がCVE-2018-4251と本当に一致するのであれば、デバイスが初期段階で侵害を受けるリスクは低いはずです。マルウェアは、この脆弱性を悪用してフォックス氏が勧告で述べたような大混乱を引き起こす前に、システムに侵入し、管理者権限を取得する必要があります。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
