サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE(Preboot Execution Environment)ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという(Quarkslab、PC Watch)。
EDK IIを実装していて影響を受けるUEFIは下記の通り。
- Armのリファレンスソリューション
- Insyde SoftwareのInsyde H20 UEFI/BIOS
- American Megatrends Inc(AMI)のAptio OpenEdition
- Phoenix TechnologiesのSecureCore
- MicrosoftのProject Mu
PixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。
- 整数アンダーフロー(CVE-2023-45229)
- バッファオーバーフロー(CVE-2023-45230)
- 境界外読み取り(CVE-2023-45231)
- 無限ループ(CVE-2023-45232、CVE-2023-45233)
- TCPセッションハイジャック攻撃の可能性(CVE-2023-45236)
- 擬似乱数ジェネレーターの使用(CVE-2023-45237)
ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。