UEFI参照実装のカプセルアップデートに脆弱性 - 影響範囲が広大

8月7日(現地時間)、「Homelang Security」に掲載された記事「Vulnerability Note VU#552286 - UEFI EDK2 Capsule Update vulnerabilities」が、UEFIの参照実装であるEDK2に複数のセキュリティ脆弱性が存在すると伝えた。

EDK2はオープンソースで提供されているUEFI(Unified Extensible Firmware Interface)の参照実装。このソフトウェアのカプセルアップデート機能に複数のセキュリティ脆弱性が存在しており、このセキュリティ脆弱性を利用されるとファームウェアレベルで任意のコードが実行される危険性があるほか、セキュアブートの回避、DoS攻撃に利用されるといった危険性が考えられるという。

EDK2のソースコードはPCやBIOSを提供している多くのハードウェアベンダで活用されており、その影響範囲は広いものとみられる。VNDでは少なくともAMI、HP、Intel、Phoenixはこのセキュリティ脆弱性の影響を受けると説明しており、ほかにも影響を受けるハードウェアベンダが少なからず存在すると予想される。