戻る

GIGABYTE ソフトウェアの潜在的なセキュリティ脆弱性に対するソフトウェア更新

CVE-2018-19320, CVE-2018-19321, CVE-2018-19322, CVE-2018-19323 , CVE-2019-7630
May 18, 2020

概要:

GIGABYTE APP Center v1.05.21 以前、AORUS GRAPHICS ENGINE 1.57 以前、XTREME GAMING ENGINE 1.26 以前、および OC GURU II v2.08 に潜在的なセキュリティ脆弱性が存在します。これらの脆弱性により、マシン固有レジスタ (MSR) の読み取りおよび書き込み機能が悪用される可能性があります。これにより、ローカルの攻撃者が影響を受けるシステムを完全に制御できる可能性があります。GIGABYTE は、これらの潜在的な脆弱性を軽減するためのソフトウェアアップデートをリリースしています。

 

脆弱性の詳細:

CVEID: CVE-2018-19320

説明: GIGABYTE APP Center v1.05.21 以前、AORUS GRAPHICS ENGINE 1.57 以前、XTREME GAMING ENGINE 1.26 以前、および OC GURU II v2.08 の GDrv 低レベル・ドライバーは、ring0 memcpy のような機能を公開しており、ローカルの攻撃者が影響を受けるシステムを完全に制御できる可能性があります。

 

CVSS Base Score: 7.8 High

CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

CVEID: CVE-2018-19321

説明:GIGABYTE APP Center v1.05.21 以前、AORUS GRAPHICS ENGINE 1.57 以前、XTREME GAMING ENGINE 1.26 以前、および OC GURU II v2.08 に含まれる GPCIDrv および GDrv 低レベル・ドライバーには、任意の物理メモリの読み取りと書き込みを行う機能が公開されています。これは、ローカルの攻撃者によって権限昇格に悪用される可能性があります。

 

CVSS Base Score: 7.8 High

CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

CVEID: CVE-2018-19322

説明:GIGABYTE APP Center v1.05.21 以前、AORUS GRAPHICS ENGINE 1.57 以前、XTREME GAMING ENGINE 1.26 以前、および OC GURU II v2.08 に含まれる GPCIDrv および GDrv 低レベル・ドライバーは、IO ポートへのデータの読み書き機能を公開しています。これは様々な方法で悪用され、最終的には昇格された権限でコードを実行する可能性があります。

 

CVSS Base Score: 7.8 High

CVSS Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

CVEID: CVE-2018-19323

説明:GIGABYTE APP Center v1.05.21 以前、AORUS GRAPHICS ENGINE 1.57 以前、XTREME GAMING ENGINE 1.26 以前、および OC GURU II v2.08 に含まれる GPCIDrv および GDrv 低レベル・ドライバーには、任意の物理メモリの読み取りと書き込みを行う機能が公開されています。これは、ローカルの攻撃者によって権限昇格に悪用される可能性があります。

 

CVSS Base Score: 9.8 Critical

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

 

CVEID: CVE-2019-7630

説明:Gigabyte APP Center の 19.0227.1 より前のバージョンにおいて、gdrv.sys に問題が発見されました。脆弱なドライバは IOCTL 0xC3502580 を介して wrmsr 命令を公開しますが、対象のモデル固有レジスタ (MSR) を適切にフィルタリングしません。任意の MSR 書き込みを許可すると、リング0コード実行や権限昇格につながる可能性があります。

 

CVSS Base Score: 7.2 High

CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

 

 

対象製品:

GIGABYTE APP Center v1.05.21 以前

AORUS GRAPHICS ENGINE バージョン 1.57 以前

XTREME GAMING ENGINE バージョン 1.26 以前

OC GURU II バージョン 2.08

 

 推奨事項:

GIGABYTE は影響を受けるソフトウェアをご利用のお客様に、下記の説明に従って適切なバージョンへのアップデートを推奨いたします。

 

GIGABYTE APP Center B19.0422.1 以降

AORUS GRAPHICS ENGINE 1.57 以降

XTREME GAMING ENGINE 1.27 以降

OC GURU II v2.08 ユーティリティは利用できなくなりました。

 

各製品ウェブサイトにて、最新ソフトウェアをダウンロードすることが可能です。