インテルは今週、新たなセキュリティアドバイザリを発表しました。今回は、同社のNUCミニPCが権限昇格攻撃に対して脆弱であると述べています。同社はまた、潜在的な攻撃を軽減するために、ミニPCのファームウェアパッチもリリースしました。研究者らは今年、NUC PCに複数の脆弱性を発見しています。
Intelのアドバイザリによると、5件の脆弱性により、攻撃者がNUCデバイス上で権限を昇格できる可能性がある。そのうち2件は共通脆弱性評価システム(CVSS)のベーススコア7.8、3件は7.5と、いずれも深刻度の高い脆弱性となっている。
最初の欠陥 (CVE-2019-14608) は、NUC ファームウェアの不適切なバッファ制限が原因で、攻撃者がデバイスへのローカル アクセスを介して権限昇格を可能にする可能性があります。
2 番目の脆弱性 (CVE-2019-14610) は、NUC ファームウェアの不適切なアクセス制御によって、認証されたユーザーがローカル アクセスを介して権限の昇格を可能にする可能性があることを説明しています。
3 番目の脆弱性 (CVE-2019-14609) は、ファームウェアにおける不適切な入力検証に起因し、ローカル アクセスによる権限昇格にもつながります。
4 番目の NUC ファームウェアの欠陥 (CVE-2019-14611) は、同じ種類の攻撃につながる可能性のある整数オーバーフローでした。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
最後の欠陥 (CVE-2019-14612) は、NUC ファームウェアの範囲外の書き込みであり、攻撃者がこれを悪用して、ローカル アクセスを介してシステム権限を昇格できる可能性があります。
インテルは、自社製プロセッサに対する投機的実行攻撃に加え、今年に入ってNUCファミリーのデバイスに対して複数のセキュリティ勧告を発行せざるを得ませんでした。Spectre CPU脆弱性が明らかになって以来、同社はセキュリティ対策を最優先に取り組んでおり、その一環として、研究者に対し自社プラットフォームの脆弱性調査を奨励しています。
脆弱性の開示は後を絶たないため、インテルは二度問い合わせる必要もなかった。インテルが自社製品からセキュリティ上の欠陥を排除しようと努力した結果、今後年月とともにバグが減少するのか、それともインテル製品を調査する研究者が増えるにつれてバグの開示が増加するのかは、まだ分からない。
