Vulnerability Notes Database - Advisory and mitigation information about software vulnerabilities |
8月7日(現地時間)、「Homelang Security」に掲載された記事「Vulnerability Note VU#552286 - UEFI EDK2 Capsule Update vulnerabilities」が、UEFIの参照実装であるEDK2に複数のセキュリティ脆弱性が存在すると伝えた。
EDK2はオープンソースで提供されているUEFI(Unified Extensible Firmware Interface)の参照実装。このソフトウェアのカプセルアップデート機能に複数のセキュリティ脆弱性が存在しており、このセキュリティ脆弱性を利用されるとファームウェアレベルで任意のコードが実行される危険性があるほか、セキュアブートの回避、DoS攻撃に利用されるといった危険性が考えられるという。
EDK2のソースコードはPCやBIOSを提供している多くのハードウェアベンダで活用されており、その影響範囲は広いものとみられる。VNDでは少なくともAMI、HP、Intel、Phoenixはこのセキュリティ脆弱性の影響を受けると説明しており、ほかにも影響を受けるハードウェアベンダが少なからず存在すると予想される。