米Microsoftは8月13日(現地時間)、現在サポートしているWindows 11およびWindows 10の全バージョンに対し、8月度の月例セキュリティ更新プログラムの配信を開始した。
更新プログラムのバージョンについて、Windows 11(23H2/22H2)は「KB5041585」、Windows 11(21H2)向けは「KB5041592 」、Windows 10(22H2/21H2)は「KB5041580」、Windows 10(1809)は「KB5041578」となる。
本更新プログラムでは、CVE番号ベースで90件の脆弱性に対応した。このうち、深刻度を「Critical(緊急)」と評価しているのは以下の9件だ。
以下の6件は深刻度こそ「重要」「警告」となっているが、悪用の事実が確認されている。カッコ内は深刻度だ。
特にCVE-2024-38063は、ユーザーの操作にかかわらずリモート攻撃される可能性がある。既に攻撃手法が知られている脆弱性も含まれており、できるだけ早めのアップデートを心掛けたい。
米AMDは8月9日(現地時間)、Ryzenやサーバ向けのEpicプロセッサに、OSからはアクセスできない最高の特権レベルで実行するSMM(System Management Mode)に攻撃者がアクセスできてしまう脆弱性があることを明らかにした。
Sinkclose(CVE-2023-31315) と呼ばれるこの脆弱性は、セキュリティベンダーのIOActiveに所属する研究者が発見したもので、AMDチップが古いデバイスとの互換性を保つために有しているTClose機能を悪用するものだ。
AMDベースのマシンでは、TSegと呼ばれる安全策により、OSがシステム管理モード用に予約されているメモリの保護された部分(System Management Random Access Memory:SMRAM)に書き込むのを防止する。
ただし、TClose機能は、SMRAMと同じメモリアドレスを使用する古いデバイスとコンピュータの互換性を維持できるように設計されており、有効にすると他のメモリをそれらのSMRAMアドレスに再マッピングする。この再マッピング機能に欠陥があり、悪用することでSMMにアクセスできてしまうという。
IOActiveの研究者は米WIREDの取材に対し、「Sinkclose経由でインストールされたマルウェア感染は、OSの再インストール後でも検出または修復が困難で、ドライブを消去しても残り続ける」としている。
除去するには、PCのケースを開け、SPIフラッシュプログラマーと呼ばれる専用のツールを利用する必要があり、基本的には感染したPCは捨てなければならないと警告する。
AMDは「Sinkcloseを利用するには、攻撃者が既にカーネルレベルレベルのアクセス権を持っている必要がある」としているが、そのようなアクセス権を入手できる脆弱性は、毎月のように公開されていると研究者は反論している。
AMDでは、OEMのUEFI(BIOS)アップデートを通じ、 Platform Initialization(PI)の更新で対応する。対象となるのはサーバ向けの第1/2/3/4世代のEPICプロセッサや組み込み向けのプロセッサ、デスクトップ向けとモバイル向けのRyzen 3000シリーズ以降など。
Copyright © ITmedia, Inc. All Rights Reserved.