2015年のSuperfish問題も記憶に新しいレノボのPCに、また脆弱性が見つかりました。セキュリティ研究家Dymtro "Cr4sh" Oleksiuk氏がレノボ製PCのBIOSから発見したこの脆弱性は、外部から管理者権限でコードを実行できるとされます。
またこの脆弱性はインテルがBIOSメーカーに配布した共通コードベースから存在しており、HP Pavillionシリーズの一部からも発見されている模様です。
一方、レノボは脆弱性の発見を受けてすぐにセキュリティ アドバイザリページを公開し、すでにセキュリティ研究者と接触して情報を収集しているとアピールしています。ただ、影響を受ける具体的な機種名などは記していません。
レノボによると、PCのBIOSは個別のBIOSメーカーが一から独自製作するわけではなく、まずインテルなりAMDなりのCPUメーカーが提供するリファレンスコードをベースに、各コンピューターのハードウェアに依存する部分のコードレイヤーを付け足す格好で開発されます。レノボ製PCのBIOSは、いくつかの独立系BIOSメーカーから供給を受けているとのこと。
この点に関しては、Oleksiuk氏の指摘とも一致しており、Oleksiuk氏の指摘の後で同じインテルのコードベースを使用したと考えられるHP Pavillionシリーズからも同じ脆弱性がみつかったとする報告がありました。
@d_olex Yep, found SmmRuntimeManagementCallback() function in HP dv7 4087cl (from ~2010, HM55) with Insyde EFI pic.twitter.com/M5jrsrAO8d
— Alex James (@al3xtjames) 2016年7月2日
少し引っかかったのは、レノボはこの脆弱性が自分の知らないところで含まれたとしつつも、「誰がどんな目的で問題のコードを仕込んだのかについて特定を急ぐ」としているところ。確かに、問題のコードは意図的に仕込まれた可能性も否定はできないものの、普通に考えればそれを調べるのはインテルもしくはレノボに納品したBIOSメーカーの仕事のような気もします。
ともあれ、レノボは現在インテルおよびBIOSメーカーとともに修正版BIOSを準備中とのこと。ユーザーの立場からすれば、犯人探しよりもそちらを最優先でお願いしたいところです。
[Image : Andy Wong /AP]