Intelのドライバ更新ツールに脆弱性、SSL接続使用せず
Intel Driver Update Utilityでは更新ダウンロード用のURLにSSLが使われていなかった。
» 2016年01月21日 07時45分 公開
[鈴木聖子,ITmedia]
米Intelのドライバ更新用ツール「Intel Driver Update Utility」に情報流出の脆弱性が見つかり、同社が1月19日に更新版を公開して対処した。
Intelによると、同ユーティリティではコンピュータ上にあるIntelのドライバを分析して更新の有無を確認し、更新があればダウンロードしてインストールできる。
しかし2.0〜2.3までのバージョンではこの通信にSSLによる暗号化が施されておらず、情報が流出する恐れがあった。
脆弱性を発見したセキュリティ企業のCore Securityによると、この問題を突いて通信に割り込む中間者攻撃を仕掛けられれば、情報の流出や改ざん、コード実行などに利用される可能性もある。更新版をダウンロードする際のドメイン認証は簡単に回避することが可能だという。
Intelは更新版となるバージョン2.4でこの問題を修正した。同ユーティリティを使っている場合は同社のダウンロードサイトから更新版を入手するよう強く勧告している。
関連記事
Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。
Lenovo、BIOSプログラムの脆弱性に対処 「迷惑ウェア」の指摘も
Lenovo製一部PCのBIOSに含まれる「Lenovo Service Engine」(LSE)では、たとえWindowsを再インストールしてもLenovoのソフトウェアが自動的にインストールされる仕組みになっていたという
バグ管理ツールのBugzillaに脆弱性、特権取得される恐れ
Bugzillaで共有されている未解決の脆弱性情報などが流出する恐れもあることから、できるだけ早くパッチを適用するよう呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「AIはすぐ進化するから飛びつくのはリスク」 それを超えるメリットとマイナスの消し方
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
ITmediaはアイティメディア株式会社の登録商標です。