AMDおよびそのマザーボードパートナー企業が、広範囲に及ぶセキュリティの脆弱性「LogoFAIL」に対処するためのファームウェアの更新を進めているとNeowinが報じています。この脆弱性は、PCの起動時のロゴを介して、ハッカーがシステムに不正アクセスできる可能性があり、多くの環境で影響を受けます。
脆弱性「LogoFAIL」とは?
「LogoFAIL」と名付けられたこの脆弱性は、Binarly研究チームが昨年の12月に発見しました。この問題は、UEFI (Unified Extensible Firmware Interface)の中で、起動時に表示されるロゴ画像のカスタマイズ機能を悪用することで発生します。攻撃者はこの機能を利用してシステムに侵入する可能性があります。この脆弱性はCVE-2023-40238として記録されています。
この脆弱性についての詳細はBinarly研究チームの記事から確認いただけます。
影響は広域に?
Lenovo、Intel、Acerをはじめとする複数の企業が、起動ロゴのカスタマイズを許可していることが潜在的な攻撃の入り口になっていました。また、Insyde、AMI、PhoenixなどのBIOSベンダーでは、画像パーサーの数が増加していることも判明しています。これらのパーサーは、BMP、GIF、JPEG、PCX、PNG、TGAなど、複数の画像形式を解析する機能を有しています。
対応の進捗
Gigabyte、Asus、MSI、ASRockといったAMDのマザーボードパートナー企業は、LogoFAIL脆弱性に対応するファームウェアのアップデートを順次リリースしています。例えば、GigabyteのB550 Aorus Elite V2は3月27日 (現地時間)、AGESA (AMD Generic Encapsulated Software Architecture)をバージョン1.2.0.Bに更新し、LogoFAIL UEFI脆弱性を修正するアップデートを実施しました。
B550 AORUS ELITE V2 (rev. 1.0/1.1)
BIOS F17
B550 AORUS ELITE V2 (rev. 1.0/1.1)サポートページより
- Checksum : EC01
- Update AMD AGESA V2 1.2.0.B
- Fix AMD processor vulnerabilities security
- Addresses potential UEFI vulnerabilities. (LogoFAIL)
AMDはIntelよりも対応が遅れたという声も
前出のNeowinはAMDはこの問題に対応するのにやや遅れたと評価しました。Intelは既に2023年12月には修正ファームウェアのアップデートを開始していました。
この影響を受けるPCを利用しているユーザはベンダやメーカからの更新をチェックし、早めに更新を適用したい。