米Microsoftはゲーム機「Xbox 360」向けのOSソフトウエア・アップデートをリリースした。米メディア(CNET News.com)によると,特権昇格の脆弱性を修復するパッチが含まれるという。
問題の脆弱性は,ソフトウエアのセキュリティ問題を扱うコミュニティ・サイト「SecurityFocus」への投稿で2月28日に報告されたもの。攻撃者にハイパーバイザ特権昇格を許可し,任意のコードが実行できるようにしてしまう。
この問題の影響を受けるのは,カーネル・バージョン4532(2006年10月31日リリース)と4548(同11月30日リリース)のすべてのXbox 360。11月に脆弱性が確認され,12月に公開デモが実施された。
SecurityFocusへの報告によると,この脆弱性を悪用し,特権を与えられていないメモリー領域にデータを書き込む手法を組み合わせることで,Xbox 360に物理的にアクセスし,完全な特権とハードウエア・アクセスを伴う他のOSなどのコードを任意に実行することが可能になるという。
なお,バージョン4532より前のカーネルにこの脆弱性は存在しない。また,2007年1月9日リリースのカーネル・バージョン 4552では修正済みである。
OSソフトウエア・アップデートについては,Xbox 360サイトのサポート・ページに情報を掲載している。
[SecurityFocusへの投稿]
[Xbox 360サイトのサポート・ページ]
