サポート

インテル® マネジメント・エンジン重要なファームウェアのアップデート (インテル-SA-00086)


最後のレビュー: 31-Jan-2018
記事 ID: 000025619

インテル® マネジメント・エンジン(インテル® ME 6. x/7. x/8.x/1.x/10.x)、インテル®トラステッド実行エンジン (インテル® TXE 3.0)、インテル®サーバー・プラットフォーム・サービス (インテル® SPS 4.0) の脆弱性 (インテル-SA-00086)

注意この資料では、 インテル® マネジメント・エンジン ファームウェアで検出されたセキュリティ上の脆弱性に関する問題について説明します。この資料には、プロセッサ側チャネルの脆弱性 (メルトダウン/スペクター) に関する情報は含まれていません。メルトダウン/スペクターの問題についての情報をお探しの場合は、サイドチャネル分析の事実とインテル®製品 を参照してください。

インテルは、外部の研究者によって特定された問題に対応して、ファームウェアのレジリエンスを強化することを目的として、以下の包括的なセキュリティレビューを実施しました。

  • インテル® マネジメント・エンジン(インテル® ME)
  • インテル®信頼された実行エンジン (インテル® TXE)
  • インテル ® サーバ・プラットフォーム・サービス (SPS)

Intel は、特定の pc、サーバー、および IoT プラットフォームに影響を与える可能性のあるセキュリティの脆弱性を特定しました。

インテル ME ファームウェアバージョン 6.x-11. x を使用するシステム、SPS ファームウェアバージョン4.0 を使用するサーバ、および TXE バージョン3.0 を使用するシステムは影響を受けます。これらのファームウェアのバージョンは、以下のプロセッサから特定のプロセッサーで見つけることができます。

  • 第1、第2、第3、第4、第5、第6、第7、第8世代インテル® コア™ プロセッサー ファミリー
  • インテル® ジーオン® プロセッサー E3-1200 v5 と v6 製品ファミリ
  • インテル® ジーオン® プロセッサー スケーラブルなファミリ
  • インテル® ジーオン® プロセッサー W ファミリー
  • インテル Atom® C3000 プロセッサー・ファミリー
  • アポロ湖インテル Atom®プロセッサー E3900 シリーズ
  • アポロレイクインテル®ペンティアム®プロセッサー
  • インテル® Pentium® プロセッサー G シリーズ
  • インテル® Celeron® G、N、J シリーズ・プロセッサー

識別された脆弱性がシステムに影響を与えるかどうかを確認するには、以下のリンクを使用してインテル-SA-00086 検出ツールをダウンロードして実行します。

よく寄せられる質問のセクション

利用可能なリソース

マイクロソフトおよび Linux * ユーザー向けのリソース

注意1.0.0.146 より前のインテル-SA-00086 検出ツールのバージョンは、cve-2017-5711 と cve-2017-5712 をチェックしませんでした。これらの cve は、インテル®アクティブ・マネジメント・テクノロジー (インテル® AMT) バージョン 8.x-10.x のシステムにのみ影響します。Intel AMT 8.x-10.x を搭載したシステムのユーザーは、バージョン1.0.0.146 以降をインストールすることを推奨します。このバージョンをインストールすると、インテル-SA-00086 セキュリティアドバイザリに関するシステムの状態を確認できます。インテル-SA-00086 検出ツールのバージョンを確認するには、ツールを実行し、[出力] ウィンドウでバージョン情報を探します。

システム/マザーボードメーカーからのリソース

注意他のシステム/マザーボードメーカーへのリンクは、利用可能な場合に提供されます。製造元が記載されていない場合は、必要なソフトウェア更新プログラムが入手可能かどうかについて連絡してください。


よく寄せられる質問:

Q: インテル-SA-00086 検出ツールは、私のシステムが脆弱であることを報告します。どうしようか。
A:
intel は、セキュリティアドバイザリインテル-SA-00086 で特定された脆弱性を解決するために、システムおよびマザーボードの製造元に、必要なファームウェアとソフトウェアの更新を提供しています。

エンドユーザーが更新プログラムを利用できるようにするための計画については、システムまたはマザーボードの製造元に問い合わせてください。

一部のメーカーは、お客様が追加情報および利用可能なソフトウェア更新プログラムを入手するための直接リンクをインテルに提供しています (以下のリストを参照してください)。

Q: システムまたはマザーボードの製造元に問い合わせる必要があるのはなぜですか?インテルがシステムに必要な更新プログラムを提供できないのはなぜですか。
A:
Intel は、システムおよびマザーボードの製造元によって実行される管理エンジンのファームウェアのカスタマイズにより、汎用の更新プログラムを提供できません。

Q: 私のシステムは、インテル-SA-00086 検出ツールによって脆弱である可能性があるとして報告されています。どうしようか。
a:
次のいずれかのドライバがインストールされていない場合は、通常、ステータスが脆弱な可能性があります。

  • インテル® マネジメント・エンジン インターフェイス (インテル® MEI) ドライバー
また
  • インテル®信頼された実行エンジンインターフェイス (インテル® TXEI) ドライバー
システムまたはマザーボードの製造元に問い合わせて、システムの正しいドライバを入手してください。

Q: システムまたはマザーボードの製造元が一覧に表示されていません。どうしようか。
A:
以下のリストは、インテルに情報を提供しているシステムまたはマザーボードの製造元からのリンクを示しています。製造元が表示されていない場合は、標準のサポートメカニズム (web サイト、電話、電子メールなど) を使用してお問い合わせください。

Q: 攻撃者が特定された脆弱性を悪用するには、どのような種類のアクセスが必要ですか。
A:
機器メーカーが Intel 推奨のフラッシュ記述子書き込み保護を有効にしている場合、攻撃者はプラットフォームのファームウェアフラッシュへの物理的なアクセスを必要とし、次の脆弱性を悪用します。

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
攻撃者は、プラットフォームのフラッシュメモリに物理的に接続された flash プログラマを介して、悪意のあるファームウェアイメージでプラットフォームを手動で更新することにより、物理的なアクセスを獲得します。フラッシュ記述子の書き込み保護は、通常、製造の終了時に設定されるプラットフォームの設定です。フラッシュ記述子の書き込み保護は、製造完了後に、フラッシュの設定を不正または誤って変更されないように保護します。

機器の製造元が Intel 推奨のフラッシュ記述子書き込み保護を有効にしていない場合、攻撃者はオペレーティングカーネルアクセス (論理アクセス、オペレーティングシステムリング 0) を必要とします。攻撃者は、悪意のあるプラットフォームドライバーを介してプラットフォームに悪意のあるファームウェアイメージを適用することにより、特定の脆弱性を悪用するためにこのアクセスを必要とします。

2017-5712 で識別される脆弱性は、有効な管理インテル® マネジメント・エンジン 資格情報と共に、ネットワーク経由でリモートで悪用可能です。有効な管理者資格情報が利用できない場合、この脆弱性は悪用されません。

さらなるサポートが必要な場合は、インテルカスタマサポート に連絡して、オンラインサービスリクエストを送信してください。

- この情報は利便性のために一部機械翻訳を使用しています。この内容は一般的な情報を提供するためものであり、情報の正確さと完全性を保証するものではありません。インテルは不正確な翻訳があった場合でもいかなる責任を負いません。

本記事の適用対象:

現行製品

インテル® サーバー・プラットフォーム・サービス・ファームウェア