パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Samsung製の一部ノートパソコンを壊す実証コードが公開される」記事へのコメント

  • by Anonymous Coward

    BIOSアップデータを書き換えたら、起動しなくなった。的な雰囲気を感じてしまうなぁ

    • by Anonymous Coward

      本来BIOS/UEFI領域のアップデートはは特権モードで行われることですが、今回のは普通のユーザーがWindows上から実行できてしまうのが問題っぽいです。

      • うん。記事がちょっと不親切。

        >処理の内容はUFEIのSetVariable関数を使ってランダムな48KBのデータを書き込むというもののようだ。

        って書かれていると、そりゃ、ランダムなデータを書いたら動かないのは当たり前だろ? と一瞬、混乱する。 そんなことより、「ユーザプログラムがUEFIに任意のデータを書き込める」のが問題だと一言書いといて欲しかった。
        • Re:なんか (スコア:3, 参考になる)

          by Anonymous Coward on 2013年02月13日 10時38分 (#2324204)

          何その「XSSはブラウザが任意のデータをWebサーバに送信できるのが問題」みたいな論法。
          ユーザープログラムからUEFIのコードを書き換えられるなら問題だけど単なる不揮発性メモリ領域だよ。そこにどんな内容が書かれていても文鎮化してはならない(=起動に必須の内容が含まれていてはならない)のはUEFIの仕様に照らしても明白。

          親コメント
          • by s02222 (20350) on 2013年02月13日 10時57分 (#2324213)
            ああ・・・BIOSアップデートの失敗、みたいな話ではないんですね。てっきり公開された実証コードでUEFI自体が記録されている部分が書き換わるものかと思って読んでました。

            「UEFIプログラム」とは別に記録された、BIOS設定にあたるような部分を書き換えたら死ぬ、みたいな話でしょうか?

            そこに不整合な情報を書き込んだ場合には、BIOSで言う所の「CMOSリセットがかかったので初期設定をロードした上でBIOS設定画面を出す」みたいな動作になるべきなのに、ならない、と。
            親コメント

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...