Lenovo、BIOSファームウェアに脆弱性を確認

  • 元記事:Lenovo Statement on Lenovo Service Engine (LSE) BIOS
  • HP:Lenovo
  • 発表日時 2015/8/11

    Lenovoはセキュリティ研究者から、BIOSファームウェアに脆弱性が含まれる旨の指摘を受け、この脆弱性を削除したBIOSファームウェアを公開した。同社はいつもシステムを最新のBIOSファームウェアにアップデートするよう推奨しているが、今回も消費者向けノートPCやデスクトップに新しいBIOSファームウェアをアップデートするよう推奨している。
    今回脆弱性を指摘されたのはLenovoの消費者PCにインストールされているBIOSファームウェアの「Lenovo Service Engine(LSE)というプログラムで、Microsoft Windowsのメカニズムを利用する方法にリンクされていた。LenovoとMicrosoftでは、このプログラムによりバッファオーバーフロー攻撃を受けたりLenovoのテストサーバへの接続がされる恐れもあることを確認している。この問題発覚を受け、MicrosoftはBIOS機能の実装方法についてのセキュリティガイドラインのアップデートを公開した。LenovoのLSEはガイドラインに沿っていないとしてLSEのインストールを取りやめた。同社は、この機能を無効化して削除した新しいBIOSファームウェアにアップデートするようユーザに呼びかけている。
    LSEはWindows 7、8、8.1のLenovoブランドのノートPCと、Windows 8、8.1のデスクトップPCにインストールされている。なお、ThinkブランドのPCはこの影響を受けない。