製品・ソフトウェアに関する情報
Vulnerability Search
UEFI EDK2 の Capsule Update 処理に複数の脆弱性
Title UEFI EDK2 の Capsule Update 処理に複数の脆弱性
Summary

UEFI EDK2 の Capsule Update 処理には複数の脆弱性が存在します。 オープンソースのプロジェクト EDK2 は UEFI の参照実装を提供しています。EDK2 の Capsule Update 処理には、バッファオーバーフローの脆弱性 (CVE-2014-4859) と Write-what-where Condition (任意の場所に任意の値を書き込むことができる状態) の脆弱性 (CVE-2014-4860) が存在します。

Possible impacts 当該製品にログイン可能なユーザによって、ファームウェアレベルで任意のコードを実行される可能性があります。その結果、ルートキットをインストールされたり、セキュアブートをバイパスされたりする可能性があります。
Solution

[アップデートする] 各開発者が提供する情報をもとに、適切な対策を行ってください。
Publication Date Aug. 7, 2014, midnight
Registration Date Nov. 12, 2015, 4:52 p.m.
Last Update Nov. 12, 2015, 4:52 p.m.
Affected System
Tianocore
EDK2 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2015年11月12日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-4859
Summary

Integer overflow in the Drive Execution Environment (DXE) phase in the Capsule Update feature in the UEFI implementation in EDK2 allows physically proximate attackers to bypass intended access restrictions via crafted data.

Publication Date Feb. 1, 2020, 1:15 a.m.
Registration Date Jan. 26, 2021, 3:13 p.m.
Last Update Nov. 21, 2024, 11:11 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:tianocore:edk2:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
CVE-2014-4860
Summary

Multiple integer overflows in the Pre-EFI Initialization (PEI) boot phase in the Capsule Update feature in the UEFI implementation in EDK2 allow physically proximate attackers to bypass intended access restrictions by providing crafted data that is not properly handled during the coalescing phase.

Publication Date Feb. 1, 2020, 1:15 a.m.
Registration Date Jan. 26, 2021, 3:13 p.m.
Last Update Nov. 21, 2024, 11:11 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:tianocore:edk2:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List