Intel の Software/Firmware がアップデート:18 件の深刻な脆弱性が FIX

Intel Software and Firmware Updates Patch 18 High-Severity Vulnerabilities

2022/02/17 SecurityWeek — 先週に Intel は、22件のセキュリティ勧告を発表し、そのうち7件の深刻度は High となっている。これらのアドバイザリには、18件の深刻度 High の脆弱性が記載されており、そのほとんどが特権の拡大に悪用される可能性を持つ。また、情報漏えいやサービス拒否 (DoS) を引き起こす可能性も生じるという。ただし、これらの脆弱性を悪用するには、対象となるデバイスへのローカル・アクセスが必要となる。

あるアドバイザリでは、一部のインテル製プロセッサの BIOS ファームウェアに、10個の深刻度 High の特権昇格の脆弱性が存在すると述べている。また、別のアドバイザリでは、Intel チップ・ファームウェアの Server Platform Services (SPS )/Active Management Technology (AMT)/Power Management Controller (PMC) に、深刻なセキュリティ上の欠陥が見つかったとしている。

また、Kernelflinger オープンソース・プロジェクト/Intel Quartus Prime コンポーネント/PROSet Wireless WiFi 製品/AMT SDK/Setup and Configuration Software (SCS)/Management Engine BIOS eXtensions (MEBx) にも、重大な問題が見つかっている。残りのアドバイザリには、今月に同社が対処した、10数件の Medium/Low の脆弱性が記載されている。

また、HPE などのコンピュータ・ベンダーも、Intel 製ハードウェアに影響を与えるいくつかの脆弱性について、顧客に勧告を発表している。Intel のソフトウェアやファームウェアが広く普及していることを考えると、この種の脆弱性が、脅威アクターにとって有用であることが分かる。その一方で、CISA の Known Exploited Vulnerabilities Catalog には、過去10年間に攻撃に悪用された 370件以上の脆弱性が掲載されているが、Intel の脆弱性については1件 (CVE-2017-5689) だけが言及されるに過ぎない。

昨年に Intel は、自社製品の計 226件の脆弱性にパッチを当てており、2018年の開始したバグバウンティ・プログラムを通じて、年間平均 $800,000を支払っている。2021年にパッチを当てた欠陥のうち、Critical と評価されたのは2件であり、High と評価されたのは 52件だった。

Intel の脆弱性に関する記事としては、2021年11月15日に「Intel の脆弱性 CVE-2021-0146 は Note PC から IoT にまで影響をおよぼす」という記事がありました。また、ファームウェアに関連する記事としては、2022年1月21日の「ファームウェア・ベース Rootkit の危険性:MoonBounce を含む3つのマルウェアとは?」と、2月2日の「UEFI ファームウェアで発見された 23件の脆弱性:ハードウェア・ベンダー 25社に影響」という記事がありました。よろしければ、ご参照ください。

%d bloggers like this: