UEFIの普及により、一連の「大手」製品にセキュリティホールが発生

ITNewsによると、Quarkslabは、これらのセキュリティホールは、同じローカルネットワーク上の認証されていないリモート攻撃者によって、場合によってはリモートからでも悪用される可能性があると警告しました。研究者らは、これらの脆弱性の影響には、DDoS攻撃、情報漏洩、リモートコード実行、DNSキャッシュポイズニング、ネットワークセッションハイジャックなどが含まれると述べています。

カーネギーメロン大学（米国）のCERTサイバーセキュリティコーディネーションセンターは、このエラーはアメリカンメガトレンド、インサイドソフトウェア、インテル、フェニックステクノロジーズなどのUEFIベンダーの実装プロセスで確認されたものの、東芝は影響を受けなかったと述べた。

Insyde Software、AMI、Phoenix TechnologiesはいずれもQuarkslabに対し、修正プログラムを提供していることを確認しました。一方、このバグはGoogle、HP、Microsoft、ARM、ASUSTek、Cisco、Dell、Lenovo、VAIOといった大手企業を含む18社のベンダーによって引き続き調査中です。

これらの脆弱性は、ネットワークブートに使用され、データセンターやHPC環境ではブート初期段階の自動化に特に重要な役割を果たすEDK II TCP/IPスタック「NetworkPkg」に存在します。最も深刻な3つの脆弱性は、いずれもCVSSスコア8.3で、DCHPv6ハンドラのバッファオーバーフローに関連するもので、CVE-2023-45230、CVE-2023-45234、CVE-2023-45235です。その他の脆弱性のCVSSスコアは5.3から7.5です。