「Surface Pro 3」にセキュリティ機能をバイパスされる脆弱性

同社のセキュリティアドバイザリ

　米Microsoftは10月18日（現地時間）、「Surface Pro 3」にセキュリティ機能をバイパスされる脆弱性（CVE-2021-42299）があることを公表した。同じBIOSを利用しているほかのWindowsデバイスにも影響する可能性がある。

　Windowsデバイスは「プラットフォーム構成レジスター」（PCR）と呼ばれるメモリ領域にデバイスやソフトウェアに関する情報を記録し、OSを起動する際にそれを参照してデバイスの健全性をチェックしている。しかし、「Surface Pro 3」はこのPCRバンクに任意の値を書き込むことが可能で、異常があるにもかかわらず健全であると装うことができるという。「CVSS 3.1」の基本値は「5.6」で、深刻度は「Important」。

　ただし、この脆弱性は攻撃者がデバイスへ物理的にアクセスしなければ悪用することはできないとのこと。また、同社の「Surface Pro 4」や「Surface Book」といった新しいデバイスには影響しない。

　この問題に対する修正は提供されないようで、同社はデバイスへの不正な物理アクセスを防ぐ手段をとるよう呼び掛けている。

　なお、「Surface Pro 3」は11月13日でドライバーとファームウェアのサポートを終了する。それ以降はハードウェア関連のソフトウェアアップデートは供給されないが、OSその他のアップデートは引き続き行われる（Windows 10の場合、今のところ2025年10月14日まで利用可能）。