Lenovo製PCのBIOSに脆弱性

　Lenovoは6月30日、同社製PCのBIOSにおけるシステムマネジメントモードのコードに脆弱性が存在することを公表した。修正プログラムは現在、開発が進められているという。

　システムマネジメントモードは、x86 CPUを搭載したPCのBIOSにおける最高権限を持つ実行モード。公表された脆弱性では、攻撃者がセキュアブートや一部のBIOSセキュリティのメカニズムを回避し、ローカルの管理者権限によってリモートからコードを実行できる恐れがあるもの。

　脆弱性の発見者であるDmytro Oleksiuk（Cr4sh）によれば、「7C79AC8C-5E6C-4E3D-BA6F-C260EE7C172E」の固有ID（GUID）を持つBIOSを搭載したすべてのPCが影響を受け、少なくともThinkPad X220からThinkPad X450sまでのPCに影響があるとのこと。また、Dmytro OleksiukのTwitterフォロワーにより、HP PavilionのBIOSにも同じ脆弱性が発見されている。

　Lenovoでは3社の独立系BIOSベンダー（IBV）のソフトウェアを自社製PCのBIOSとして採用しているが、うち1社が開発したBIOSが、この脆弱性の影響を受けるという。このBIOSコードは、Intelが開発した共通のコードベースをもとに、特定のPC向けに設計したコードのレイヤーが追加されている。

　Lenovoは、このコードの開発にはかかわっていないとする一方で、IBVやIntelと協力して脆弱性を修正するプログラムの開発を急いでいるとしている。