Quarkslab、UEFIのPXEブートに存在する脆弱性「PixieFAIL」について注意喚起
2024年1月23日(火)
Quarkslabは1月16日(現地時間)、UEFI/BIOSに実装されているPXEブート機能に9件の共通の脆弱性が存在するとして注意喚起を発表した。脆弱性は「PixieFAIL」と名付けられた。
「PXE」(Preboot Execution Enviroment)はネットワークを経由してコンピュータのブートを行う機能。「PXE」はTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、「EDK II」の実装に脆弱性があるため影響を受けてしまう。「EDK II」に存在する脆弱性は9件あり、悪用されるとDoS攻撃、リモートからの不正なコードの実行、DNSキャッシュポイズニング、機密情報漏洩の危険性などがあるという。
「PixieFAIL」は、PXEブートを実行する初期の段階で、DHCPサーバとデータをやり取りする際の実装に問題があるため発生する。PXEブートを使用していない環境であれば影響を受けないとされており、UEFIのアップデート、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性を回避することができる。
なお、Quarkslabは2023年8月にこの問題を報告していたが、対応すべき組織や企業が多かったため何度か公開が延期され、今回の公開となった。
(川原 龍人/びぎねっと)
[関連リンク]
Blogによる記事
その他のニュース
- 2024/12/11 オープンソースのエミュレーター「QEMU 9.2」リリース
- 2024/12/10 systemdの代替を目指すサービスマネージャ「GNU Shepherd 1.0」リリース
- 2024/12/9 軽量なLinuxディストリビューション「manjaro 24.2」リリース
- 2024/12/9 JavaScript/TypeScript対応Webフレームワーク「Astro 5.0」リリース
- 2024/12/8 openSUSE project、「openSUSE Leap micro 6.1」をリリース
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。