Lenovoの広報担当者は、影響を受けるモデル名やユーザーの数を具体的に明かそうとしなかったが、3日に同社のウェブサイトで公開したセキュリティアドバイザリに言及した。そこには次のような記載がある。「当社では脆弱性レポートを緊急に精査しており、できる限り早くアップデートおよび適切な修正を提供する予定だ。追加情報とアップデートは、用意でき次第このセキュリティアドバイザリページで公開する」
Lenovoはソフトウェアの脆弱性をいつ修正するか明らかにしていないが、セキュリティアドバイザリの中で、Lenovo Solution Centerをアンインストールすれば今回の脆弱性によるリスクは取り除かれると述べている。
東芝に関しては、ソフトウェアアップデートの検索機能などを備えたプリインストールアプリケーション「TOSHIBA Service Station」にセキュリティ脆弱性が見つかった。
slipstream/RoLによれば、このアプリにログインすると、標準のユーザーアカウントよりも高い権限を持つシステムユーザーとしてレジストリの一部を読むことができるという。ただし、攻撃者がセキュリティアカウントマネージャ(SAM)やブートキーを読み取ることはできないとslipstream/RoLは述べている。同氏によると、「あらゆるレジストリパーミッションセットを回避」することが可能だという。
また、slipstream/RoLは、Dellの製品にプリインストールされているアプリケーション「Dell System Detect」が悪用されて、「Windows」のセキュリティ機能を回避し、ユーザーの権限を昇格させるおそれがあるとも述べている。Dell System Detectは、サポートコールの前に問題がないかユーザーのシステムをチェックするアプリケーションだ。
slipstream/RoLによると、攻撃者は署名されたアプリケーションを悪用し、ユーザーが諦めて権限の昇格を許可するまで、署名済みの「ユーザー アカウント制御」プロンプトを繰り返し表示させることが可能だという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
「ストリートビュー」が捉えたクレイジーすぎる光景38連発 
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス .jpeg)
存在しないはずの「ターミナル0」が羽田に出現、なぜ?--異業種連携で「未来の空港」を研究開発へ