公開日:2014/08/08 最終更新日:2014/09/18

JVNVU#98509080
UEFI EDK2 の Capsule Update 処理に複数の脆弱性

概要

UEFI EDK2 の Capsule Update 処理には複数の脆弱性が存在します。

影響を受けるシステム

  • EDK2

詳細情報

オープンソースのプロジェクト EDK2 は UEFI の参照実装を提供しています。EDK2 の Capsule Update 処理には、バッファオーバーフローの脆弱性 (CVE-2014-4859) と Write-what-where Condition (任意の場所に任意の値を書き込むことができる状態) の脆弱性 (CVE-2014-4860) が存在します。

想定される影響

当該製品にログイン可能なユーザによって、ファームウェアレベルで任意のコードを実行される可能性があります。その結果、ルートキットをインストールされたり、セキュアブートをバイパスされたりする可能性があります。

対策方法

アップデートする
各開発者が提供する情報をもとに、適切な対策を行ってください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
シャープ株式会社 脆弱性情報提供済み 2014/08/08
富士通株式会社 該当製品無し(調査中) 2014/09/09
日本マイクロソフト株式会社 脆弱性情報提供済み 2014/08/08
日本電気株式会社 該当製品無し(調査中) 2014/08/08
日立 脆弱性情報提供済み 2014/08/08
株式会社リコー 該当製品無し 2014/09/18

参考情報

  1. CERT/CC Vulnerability Note VU#552286
    UEFI EDK2 Capsule Update vulnerabilities
  2. EDK2
    EDK2 - Tianocore
  3. Unified Extensible Firmware Interface Forum
    Top Page

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-4859
CVE-2014-4860
JVN iPedia

更新履歴

2014/09/08
富士通株式会社のベンダステータスが更新されました
2014/09/10
富士通株式会社のベンダステータスが更新されました
2014/09/18
株式会社リコーのベンダステータスが更新されました