The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。
この記事は会員限定です。会員登録すると全てご覧いただけます。
コンピュータ情報サイトの「The Hacker News」は2022年11月25日(現地時間)、Dellとヒューレット・パッカード(HP)、Lenovoのデバイスファームウェアに古いバージョンの「OpenSSL」が使用されていることが明らかになったと伝えた。
同サイトは、サプライチェーンの構造によってこのような状況が引き起こされているとして注意を呼びかけている。
The Hacker Newsはファームウェアセキュリティ企業のBinarlyの分析結果から、DellとHP、Lenovoのデバイスにおけるファームウェアイメージがどの程度古いOpenSSLを使用しているかを指摘した。その結果は以下の通りだ。
The Hacker Newsは、デバイスファームウェアが同じバイナリパッケージで複数のバージョンのOpenSSLを使用している点に言及し、サードパーティー製コードの依存関係がサプライチェーンエコシステムにおいてより複雑な状況を生み出していると解説している。
UEFIといったファームウェアにおける脆弱(ぜいじゃく)性は、OSに備わったセキュリティ機能の回避につながる。だが脆弱性が存在することが分かっていても、サプライチェーンの関係でアップデートが提供されなかったり、アップデートが提供されてもユーザーが適用しなかったりするケースもある。そのためサイバー攻撃に悪用されやすい領域の一つになっているため注意が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.