Lenovo製ノートPCのBIOSに複数の脆弱性 該当製品多岐にわたり注意
Lenovoは同社のノートPCのBIOSに複数の脆弱性が存在すると伝えた。これらの脆弱性を利用されるとセキュアブートの設定を変更される可能性があるとされており注意が必要だ。
» 2022年11月15日 08時00分 公開
[後藤大地,有限会社オングス]
この記事は会員限定です。会員登録すると全てご覧いただけます。
Lenovoは2022年11月8日、同社ノートPCのBIOSに「CVE-2022-3430」「CVE-2022-3431」「CVE-2022-3432」の3つの脆弱(ぜいじゃく)性が存在すると伝えた。
これらの脆弱性を利用されると、セキュアブートの設定を変更される可能性があり注意が必要だ。該当製品を確認するとともに、迅速にアップデートを適用してほしい。
該当のLenovo製品と脆弱性の詳細は?
脆弱性が存在するLenovo製品は以下の通りだ。
- D330-10IGL ノートブック(ideapad)
- IdeaPad 5 Pro 16ARH7
- IdeaPad 5 Pro 16IAH7
- ideapad 5 Pro-16ACH6 ノートブック
- ideapad 5 Pro-16IHU6 ノートブック
- ideapad Creator 5-16ACH6ノートブック
- IdeaPad Duet 3 10IGL5
- Lenovo Slim 7 16ARH7
- Lenovo ThinkBook 15p IMH
- S540-15IML ノートブック(ideapad)
- Slim 7 Pro 16ACH6 ノートブック(IdeaPad)
- Slim 7-14ARE05 ノートブック(ideapad)
- Slim 7-14IIL05 ノートブック(ideapad)
- Slim 7-14ITL05 ノートブック(ideapad)
- Slim 7-15IIL05 ノートブック(ideapad)
- Slim 7-15IMH05 ノートブック(ideapad)
- Slim 7-15ITL05 ノートブック(ideapad)
- ThinkBook 13x ITG ノートブック
- ThinkBook 14 G2 ARE ノートブック
- ThinkBook 14 G2 ITL ノートブック
- ThinkBook 14 G3 ACL ノートブック
- ThinkBook 14 G3 ITL ノートブック
- ThinkBook 14 G4 ABAノートブック
- ThinkBook 14 G4+ ARA
- ThinkBook 14 G4+ IAP ノートブック
- ThinkBook 14p G3 ARH
- ThinkBook 14s Yoga ITL
- ThinkBook 15 G2 ARE ノートブック
- ThinkBook 15 G2 ITL ノートブック
- ThinkBook 15 G3 ACL ノートブック
- ThinkBook 15 G3 ITL ノートブック
- ThinkBook 15 G4 ABA ノートブック
- ThinkBook 15P G2 ITH
- ThinkBook 16 G4+ ARA
- ThinkBook 16 G4+ IAP ノートブック
- ThinkBook 16p G3 ARH
- ThinkBook 16p NX ARH
- ThinkBook Plus G2 ITG
- ThinkBook Plus G3 IAP
- Yoga Creator 7-15IMH05 ノートブック(ideapad)
- Yoga Duet 7-13IML05
- Yoga Duet 7-13ITL6
- Yoga Duet 7-13ITL6-LTE
- Yoga Slim 7 Carbon 13ITL5(ideapad)
- Yoga Slim 7 Pro 16ACH6 ノートブック(IdeaPad)
- Yoga Slim 7 Pro 16ARH7
- Yoga Slim 7-13ACN05 ノートブック(ideapad)
- Yoga Slim 7-13ITL05 ノートブック(ideapad)
- Yoga Slim 7-14ARE05 ノートブック(ideapad)
- Yoga Slim 7-14IIL05 ノートブック(ideapad)
- Yoga Slim 7-14ITL05 ノートブック(ideapad)
- Yoga Slim 7-15IIL05 ノートブック(ideapad)
- Yoga Slim 7-15IMH05 ノートブック(ideapad)
- Yoga Slim 7-15ITL05 ノートブック(ideapad)
また、今回修正の対象となっている脆弱性は以下の通りだ。
- CVE-2022-3430:WMISetupドライバに潜在的な脆弱性が存在しており、特権を持つサイバー攻撃者がNVRAM変数を変更することでセキュアブート設定を変更できる可能性がある
- CVE-2022-3431:デバイス製造プロセスで使用されるドライバに誤って無効化されない潜在的な脆弱性が存在しており、特権を持つサイバー攻撃者がNVRAM変数を変更することでセキュアブート設定を変更できる可能性がある
- CVE-2022-3432:Ideapad Y700-14ISK製造プロセスで使用されるドライバに誤って無効化されない潜在的な脆弱性が存在しており、特権を持つサイバー攻撃者がNVRAM変数を変更することでセキュアブート設定を変更できる可能性がある
今回の脆弱性はBIOSアップデートの適用で問題を修正できるとされている。該当製品を使用している場合、迅速にアップデートを適用してほしい。
関連記事
SSVC方法論とは? 脆弱性管理手法の新潮流をCISAが解説
CISAは脆弱性を評価して修復作業に優先順位を付ける脆弱性管理手法「SSVC方法論」を公開した。リソース不足で脆弱性対処に手が回らないユーザーは同方法論を参考に脆弱性を優先順位付けしてほしい。
VMware Workspace ONE AssistにCVSSv3スコア9.8の脆弱性 直ちに対策を
VMwareのリモートサポートソリューション「VMware Workspace ONE Assist」にCVSSv3スコア9.8に該当する複数の脆弱性が見つかった。これらを悪用されると影響を受けたシステムの制御権を乗っ取られる可能性があるため注意してほしい。
Microsoftが11月の累積更新プログラムを配信 悪用確認済みの脆弱性に対処
Microsoftは2022年11月の累積更新プログラムを配信した。今回のアップデートで修正対象となった脆弱性の中には既に悪用されているものも含まれており、直ちにアップデートを適用することが求められる。
Samsungデバイスのユーザーは要確認を 「既知の悪用された脆弱性カタログ」に7件が追加
既知の悪用された脆弱性カタログに7件の脆弱性が追加された。脆弱性が含まれる製品の中にはSamsungのモバイルデバイスなどもある。詳細を確認の上、迅速に対応してほしい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
ITmediaはアイティメディア株式会社の登録商標です。