Intelのドライバ更新ツールに脆弱性、SSL接続使用せず

Intel Driver Update Utilityでは更新ダウンロード用のURLにSSLが使われていなかった。

[鈴木聖子，ITmedia]

　米Intelのドライバ更新用ツール「Intel Driver Update Utility」に情報流出の脆弱性が見つかり、同社が1月19日に更新版を公開して対処した。

　Intelによると、同ユーティリティではコンピュータ上にあるIntelのドライバを分析して更新の有無を確認し、更新があればダウンロードしてインストールできる。

　しかし2.0～2.3までのバージョンではこの通信にSSLによる暗号化が施されておらず、情報が流出する恐れがあった。

影響を受けるソフトウェア（Intelより）

　脆弱性を発見したセキュリティ企業のCore Securityによると、この問題を突いて通信に割り込む中間者攻撃を仕掛けられれば、情報の流出や改ざん、コード実行などに利用される可能性もある。更新版をダウンロードする際のドメイン認証は簡単に回避することが可能だという。

　Intelは更新版となるバージョン2.4でこの問題を修正した。同ユーティリティを使っている場合は同社のダウンロードサイトから更新版を入手するよう強く勧告している。

Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。
Lenovo、BIOSプログラムの脆弱性に対処　「迷惑ウェア」の指摘も
Lenovo製一部PCのBIOSに含まれる「Lenovo Service Engine」（LSE）では、たとえWindowsを再インストールしてもLenovoのソフトウェアが自動的にインストールされる仕組みになっていたという
バグ管理ツールのBugzillaに脆弱性、特権取得される恐れ
Bugzillaで共有されている未解決の脆弱性情報などが流出する恐れもあることから、できるだけ早くパッチを適用するよう呼び掛けている。