Lenovo、BIOSにオーバーフロー攻撃ができる問題：ThinkPadシリーズは対象外

[ITmedia]

Lenovoのテストサーバにオーバーフロー攻撃が可能に

　Lenovoは、8月11日（現地時間）に、BIOSの内部に組み込んだ「Lenovo Service Engine」を削除する措置をとっていたことを明らかにした。この措置の対象となるBIOSは、コンシューマー向けラインアップでWindows 7／8／8.1を導入したノートPCとWindows 8／8.1を導入したデスクトップPCで適用していた。ビジネス向けのThinkPadやThinkCentreシリーズは入っていない。

BIOSに組み込んだLenovo Service Engineの問題では「FLEX 3」や「HORIZON 2」など、コンシューマ向けラインアップモデルが対象になる

　Lenovoでは、4月から5月にかけて外部のセキュリティ研究者の指摘を受けて対策に着手し、この問題に対処した新しいBIOSを6月以降に出荷した製品に適用している。また、ユーザーに対しても最新のBIOSを適用するように呼びかけている。

　問題のあったLenovo Service Engineを組み込んだBIOSを適用しているPCでは、悪意のあるユーザーによってLenovoのテスト用サーバにアクセスしてオーバーフロー攻撃を実施できる可能性があるとLenovoは説明している。

　なお、レノボ・ジャパンでは、現在情報を収集中で、日本のユーザーに向けた情報提供を実施するか、情報提供をする場合に、いつごろどのような形で行うのかについては、8月13日朝の時点で未定としている。

　なお、今回の問題で対象になっていたモデルは以下の通りだ。

ノートPC（ワールドワイドモデル）

Flex 2 Pro 15 （Broadwell世代CPU搭載モデル）、Flex 2 Pro 15 (Haswell世代CPU搭載)、Flex 3 1120、Flex 3 1470/1570、G40-80/G50-80/G50-80 Touch、S41-70/U41-70、S435/M40-35、V3000、Y40-80、Yoga 3 11、Yoga 3 14、Z41-70/Z51-70、Z70-80/G70-80

デスクトップPC（ワールドワイドモデル）

Horizon 2 27、Horizon 2e（Yoga Home 500）、Horizon 2S、A540/A740、B4030、B5030、B5035、B750、H3000、H3050、H5000、H5050、H5055、C260、C2005、C2030、C4005、C4030、C5030、X310(A78)、X315(B85)

　このほか、中国市場限定モデルのデスクトップPCも対象となっている。