CVE-2024-22476 (CVSS 10): Intel’s Critical AI Flaw Leaves Systems Open to Attack
2024/05/16 SecurityOnline — Intel は、5月14日に 41件のセキュリティ情報を発表し、同社の製品ライン全体で 90を超える脆弱性に対処した。これらのセキュリティ欠陥の主なポイントはソフトウェアの領域にあり、その中には重要な AI ツールの脆弱性も含まれている。
発見された最も危険な脆弱性は Neural Compressor にあり、CVSS:10.0 と 評価されている。この脆弱性 CVE-2024-22476 の悪用に成功した未認証の攻撃者は、リモートアクセスによる特権の昇格を達成する可能性を持つ。
この脆弱性は、現行バージョンより以前の全バージョンに影響し、特権の昇格と任意の攻撃のリモート実行を可能にするとされている。Neural Compressor は、AI 言語モデルを最適化し、LLM のサイズを縮小し、速度を向上させるために設計されたツールである。そのため、一般の PC にインストールされるのは稀であり、主に AI 業務に携わる人々に使用されている。
その他の脆弱性は、サーバ製品の UEFI ファームウェア、Arc/Iris Xe グラフィックス・ソフトウェアなどの Intel ソフトウェア製品に存在するものであり、深刻度は Medium〜High の多岐にわたっている。
深刻度が高い脆弱性が悪用された場合には、特権昇格攻撃/DoS 攻撃/情報漏えいのリスクが生じる。また、Core Ultra “Meteor Lake” プロセッサーや、プロセッサー診断ツール、グラフィックス・パフォーマンス・アナライザー、Extreme Tuning Utility などの、広範囲に及ぶ Intel ソフトウェアにも、多数の Medium レベルの脆弱性が見つかっている。
すでに Intel は、それぞれの脆弱性に対するセキュリティ・アップデートを提供している。最新バージョンにアップグレードし、デバイスの安全な運用を確立するよう、ユーザーに勧告している。これまでのセキュリティ情報と比較して、今回のリリースでは脆弱性の数が比較的多く、より深刻な状況であることを示している。
Intel のソフトウェア群に、大量の脆弱性が発生です。その中でも注目されるのは、AI 言語モデルを最適化し、LLM のサイズを縮小し、速度を向上させるために設計された Neural Compressor の脆弱性です。ただし、一般の PC にインストールされるのは稀とのことです。よろしければ、Intel で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.