| タイトル | UEFI EDK2 の Capsule Update 処理に複数の脆弱性 |
|---|---|
| 概要 | UEFI EDK2 の Capsule Update 処理には複数の脆弱性が存在します。 オープンソースのプロジェクト EDK2 は UEFI の参照実装を提供しています。EDK2 の Capsule Update 処理には、バッファオーバーフローの脆弱性 (CVE-2014-4859) と Write-what-where Condition (任意の場所に任意の値を書き込むことができる状態) の脆弱性 (CVE-2014-4860) が存在します。 |
| 想定される影響 | 当該製品にログイン可能なユーザによって、ファームウェアレベルで任意のコードを実行される可能性があります。その結果、ルートキットをインストールされたり、セキュアブートをバイパスされたりする可能性があります。 |
| 対策 | [アップデートする] 各開発者が提供する情報をもとに、適切な対策を行ってください。 |
| 公表日 | 2014年8月7日0:00 |
| 登録日 | 2015年11月12日16:52 |
| 最終更新日 | 2015年11月12日16:52 |
| Tianocore |
| EDK2 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年11月12日] 掲載 |
2018年2月17日10:37 |
| 概要 | Integer overflow in the Drive Execution Environment (DXE) phase in the Capsule Update feature in the UEFI implementation in EDK2 allows physically proximate attackers to bypass intended access restrictions via crafted data. |
|---|---|
| 公表日 | 2020年2月1日1:15 |
| 登録日 | 2021年1月26日15:13 |
| 最終更新日 | 2024年11月21日11:11 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:tianocore:edk2:-:*:*:*:*:*:*:* | |||||
| 概要 | Multiple integer overflows in the Pre-EFI Initialization (PEI) boot phase in the Capsule Update feature in the UEFI implementation in EDK2 allow physically proximate attackers to bypass intended access restrictions by providing crafted data that is not properly handled during the coalescing phase. |
|---|---|
| 公表日 | 2020年2月1日1:15 |
| 登録日 | 2021年1月26日15:13 |
| 最終更新日 | 2024年11月21日11:11 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:tianocore:edk2:-:*:*:*:*:*:*:* | |||||