Threatpost - The First Stop For Security News

7月5日(米国時間)、Threatpostに掲載された記事「Scope of ThinkPwn UEFI Zero Day Expands |Threatpost|The first stop for security news」がLenovoのノートPC「ThinkPad」のファームウェア(SystemSmmRuntimeRt UEFIドライバ)に「ThinkPwn」と呼ばれるゼロデイの脆弱性が含まれていると伝えた。これは研究者によって公開された脆弱性で、今のところパッチは提供されていないと説明がある。

研究者によれば、この脆弱性はThinkPadのすべてのシリーズに存在しているとしており、古いモデルではX220から新しいモデルではT450で脆弱性の存在を確認したとしている。この脆弱性を悪用されると、攻撃者によってシステム管理モードで任意のコードを実行できる特権が取得されるおそれがあり、さまざまなセキュリティ機能を無効化される危険性があるとのことだ。

ほかの研究者からは、この脆弱性がLenovo ThinkPadのみならず、HP PavillionやGigabyteのマザーボードにも存在していることが発表されている。現時点でベンダーからセキュリティアップデートは提供されていない。この問題は多くのユーザーに影響を与える可能性があり、該当するプロダクトを使用している場合は、ベンダーからの発表に注目するとともに、セキュリティ・アップデートが提供された場合は迅速に適用することが望まれる。