米セキュリティ企業のEclypsiumは7月29日(現地時間)、GRUB2ブートローダーに存在する脆弱性「BootHole」について報告した。 GRUB2は、多くのLinuxディストリビューションで利用されているブートローダー。そのため、BootHole(CVE-2020-10713ほか)の影響は広範囲におよび、セキュアブートを有効にしている場合でも悪用が可能だという。各ベンダーに事前に通達済みで、同日よりアドバイザリーやアップデートが順次提供される予定。 設定ファイルである「grub.cfg」をGRUB2が読み出すプロセスにおいて、バッファオーバーフローの脆弱性が存在する。grub.cfgはEFIシステムパーティション内部にあるテキストファイルで、管理者権限を得た攻撃者によってブートローダー本体の整合性を保ったまま変更できる。 バッファオーバーフローを悪用することで、攻撃者はUEFI実行
![ほぼすべてのLinuxのブートローダーに脆弱性(Impress Watch) - Yahoo!ニュース](https://cdn-ak-scissors.b.st-hatena.com/image/square/b0b5b77048a6e5b71244c2da7aa950b0793bac9a/height=288;version=1;width=512/https%3A%2F%2Famd.c.yimg.jp%2Famd%2F20200730-00000160-impress-000-1-view.jpg)