Intel、ルネサスUSB 3.0ドライバのインストーラに脆弱性があるとし「使用停止」を勧告

NECエレクトロニクス時代のUSB 3.0 PCI Expressカード試作品。採用コントローラはμPD720200

　米Intelは11日、同社製品に関する6件の脆弱性を報告。このなかで、Intelのルネサス エレクトロニクスUSB 3.0ドライバに権限昇格の脆弱性があると報告し(INTEL-SA-00273)、ユーザーに使用停止を求めている。脆弱性共通識別子はCVE-2020-0560。

　影響があるのは、Intelが提供しているルネサス エレクトロニクス製USB 3.0コントローラドライバのインストーラで、すべてのバージョンが該当している。認証されたユーザーが、ローカルアクセスを介して特権の昇格の可能性があるとしている。

【2月14日訂正】記事初出時、ドライバに脆弱性があるとしておりましたが、正しくはドライバのインストーラの脆弱性でした。関係者にご迷惑をおかけしたことをお詫びするとともに、訂正させていただきます。

　Intelではすでにドライバのサポートや配布を終了しているため、ユーザーにはできるだけ早くドライバをアンインストールするか、使用しないことを推奨している。

　なお、ドライバ自体はIntelが配布していたが、開発しているのはルネサス(NECエレクトロニクス)であり、そのため他社経由で入手、もしくはWindows 10標準のドライバだとしても脆弱性がある可能性はある。この件に関してPC Watchはルネサスに確認中。

【17時32分追記】ルネサスに確認したところ、この脆弱性はWindows 7以前のドライバを対象としているもののため、Microsoftよりリリースされたドライバを使用できるWindows 8/10以降では問題は発生しない。

　USB 3.0コントローラ自体は、現代的なマザーボードではチップセットに集約されているため、最近ではコントローラ単体の採用例はほぼないが、ルネサスのUSB 3.0コントローラを採用している拡張カードは2018年にも新製品として登場しているため、拡張カードを利用してUSB 3.0を増設しているユーザーは注意したい。