ニュース
» 2016年01月21日 07時45分 UPDATE

Intelのドライバ更新ツールに脆弱性、SSL接続使用せず

Intel Driver Update Utilityでは更新ダウンロード用のURLにSSLが使われていなかった。

[鈴木聖子,ITmedia]

 米Intelのドライバ更新用ツール「Intel Driver Update Utility」に情報流出の脆弱性が見つかり、同社が1月19日に更新版を公開して対処した。

 Intelによると、同ユーティリティではコンピュータ上にあるIntelのドライバを分析して更新の有無を確認し、更新があればダウンロードしてインストールできる。

 しかし2.0〜2.3までのバージョンではこの通信にSSLによる暗号化が施されておらず、情報が流出する恐れがあった。

itlscly01.jpg 影響を受けるソフトウェア(Intelより)

 脆弱性を発見したセキュリティ企業のCore Securityによると、この問題を突いて通信に割り込む中間者攻撃を仕掛けられれば、情報の流出や改ざん、コード実行などに利用される可能性もある。更新版をダウンロードする際のドメイン認証は簡単に回避することが可能だという。

 Intelは更新版となるバージョン2.4でこの問題を修正した。同ユーティリティを使っている場合は同社のダウンロードサイトから更新版を入手するよう強く勧告している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ