Quarkslabは1月16日(現地時間)、UEFI/BIOSに実装されているPXEブート機能に9件の共通の脆弱性が存在するとして注意喚起を発表した。脆弱性は「PixieFAIL」と名付けられた。

　「PXE」(Preboot Execution Enviroment)はネットワークを経由してコンピュータのブートを行う機能。「PXE」はTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、「EDK II」の実装に脆弱性があるため影響を受けてしまう。「EDK II」に存在する脆弱性は9件あり、悪用されるとDoS攻撃、リモートからの不正なコードの実行、DNSキャッシュポイズニング、機密情報漏洩の危険性などがあるという。

　「PixieFAIL」は、PXEブートを実行する初期の段階で、DHCPサーバとデータをやり取りする際の実装に問題があるため発生する。PXEブートを使用していない環境であれば影響を受けないとされており、UEFIのアップデート、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性を回避することができる。

　なお、Quarkslabは2023年8月にこの問題を報告していたが、対応すべき組織や企業が多かったため何度か公開が延期され、今回の公開となった。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事