スポンサーリンク
世界中でも有数なPCメーカであるデル。デル製のPCのBIOSに脆弱性が見つかり、デルからはBIOS更新か機能の無効化をアナウンスされている。
Dell Inspiron 7380のまとめはこちら。
デルのPCのBIOSには更新機能が搭載されており、ネット経由でダウンロード、更新ができるようだ。
そういえばInspiron 7380を買った時に更新していたっけ。
その機能はBIOSからサーバにアクセスしてダウンロードする。BIOS Connectと呼ぶそうだ。
このダウンロードの際に証明書を受信してダウンロードを開始するが、中間者攻撃により悪意のある第3者が証明書を偽装して改ざんされたBIOSをダウンロードさせることができるようだ。
その結果改ざんされたBIOSにより、OSレイヤ以上で持つ情報を盗聴する、などの危険がある。
CVE番号はCVE-2021-21571, 21572,21573,21574になる。
BIOS、Basic Input Output SystemはIBMがATという機種を作ったころから存在する、OSを起動するために必要なプログラム集だ。OSのブートだけでなく、ストレージへの読み書きも定義され、IBM AT互換機はこのBIOSを利用することで若干のハードウェアの差を埋めて、OSレイヤ以上を共通にすることができる。
もっともBIOSに書かれているコードは古すぎるのでWindowsになってからは使われてないという話しを聞いたこともあるので、いまはOSのブート専用といっていいのかもしれない。
BIOSという呼び方も最近は正しくないかもしれない。UEFIに変わっている。
UEFI、Unified Extensible Firmware InterfaceはトラディショナルなBIOSに代わり、よりセキュアにPCを守るために作られた規格だ。BIOSとの最大の差は、OSにデジタル証明書があれば、それを検証して正しいものしか起動させない。ウィルスがOSを書き換えるようなことが多発した時期に考えられたのだろう。
例えばWindowsはデジタル証明書があるので、セキュアブートを有効にするが、Linuxはないものが多い(でっじたる証明書があるものは聞いたことがない)のでセキュアブートは無効にする。仮想マシンを作るときに前者は第2世代、後者は第1世代にしないとうまく作れないのはこういうところから来る。
デルの指示は英語ではあるがWEBに書かれている。
デル BIOS脆弱性
出典:デル WEB ページ
基本的には他の脆弱性と同じ対応だ。対策ソフトウェアがあれば更新、なければ機能を無効にする。
上記ページの下の方にモデル名が並ぶ表があるので、自分の使うPCがないか確認を。
有れば右端に書かれた日付のBIOSに更新知れば対策完了だ。
3列目4列目にYES/NOが書かれているが、NOであればその機能は提供されていないので読み流していい。3列目の”Supports BIOSConnect”がないものは見当たらないが、4列目の”Supports HTTP(s) Boot”は機種による。
BIOSの更新が面倒、怖いという場合は、BIOSの設定変更をすべし。機能を無効化する。
自分のPCについては後日確かめてみよう。
PR
