solution Contentsolution Content

サポートコミュニケーション- SECURITY BULLETIN

ドキュメントID: c06698775

バージョン: 1

HPSBHF03675 rev. 1 - Synaptics ® SGXを使用する指紋認証ドライバー

注意: このSecurity Bulletinに記載されている情報に従って、できるだけ速やかに対処してください。

リリース日 : 15-Jul-2020

最終更新日 : 15-Jul-2020

潜在的なセキュリティ上の影響:
任意のコード実行
出典:HP、HP製品セキュリティ対応チーム (PSRT)
レポート元:Synaptics ®

脆弱性の概要
Synapticsは、Intel®Software Guard eXtensions (SGX) を使用するSynaptics指紋認証センサードライバーの特定のバージョンに潜在的なセキュリティの脆弱性があることをHPに通知しました。これにより、ローカルユーザーがSynaptics SGXで保護されたメモリの機密性を侵害する可能性のある任意のコードを実行できる可能性があります。
この脆弱性のSynapticsセキュリティブリーフは、 https://www.synaptics.com/products/biometrics (英文) の指紋認証センサーのSynaptics製品ページにあります。
照会番号
CVE-2019-18619;PSR 2020-0147
サポートされているソフトウェアのバージョン*: 影響を受けるバージョンのみが記載されています。
影響を受ける製品については、「解決策」セクションを参照してください。
背景情報
このセキュリティに関するお知らせのPGP署名付きバージョンについては、次の宛先にお問い合わせください:hp-security-alert@hp.com
CVSS 3.1基本評価基準
参考
基本区分
基本値
CVE-2019-18619
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
7.1
解決方法
Synapticsでは、潜在的な脆弱性を緩和するアップデートを公開しています。HPは、Softpaqについて影響を受けるドライバーと対象のバージョンを特定しました。影響を受けるプラットフォームについては下記の一覧を参照してください。
補足:
「HPサブスクリプションに」サインアップして、通知を受信するようにしてください。
  • 製品サポートのeAlerts
  • ドライバーの更新
  • セキュリティ情報の更新
HPでは、最新のファームウェアとソフトウェアを使用してシステムを最新の状態に保つことをお勧めしています。

家庭用ノートブックPC

製品名
最新バージョン
SoftPaq番号
SoftPaqリンク
HP ENVY - 13t-ah100 CTO
5.5.11.1093
SP104433
HP ENVY - 13t-aq100 CTO
6.0.39.1111
SP104404
HP ENVY 13-ah0xxxノートブックPC
5.5.11.1093
SP104433
HP ENVY 13-ah1xxxノートブックPC
5.5.11.1093
SP104433
HP ENVY 13-aq0xxxノートブックPC
6.0.39.1111
SP104404
HP ENVY 13-aq1xxxノートブックPC
6.0.39.1111
SP104404
HP ENVY - 17t-bw000 CTO
5.5.11.1093
SP104433
HP ENVY - 17t-ce000 CTO
6.0.39.1111
SP104404
HP ENVY - 17t-ce100 CTO
6.0.39.1111
SP104404
HP ENVY 17-bw0xxxノートブックPC
5.5.11.1093
SP104433
HP ENVY 17-ce0xxxノートブックPC
6.0.39.1111
SP104404
HP ENVY 17-ce1xxxノートブックPC
6.0.39.1111
SP104404
HP ENVY 17m-bw0xxxノートブックPC
5.5.11.1093
SP104433
HP ENVY 17m-ce0xxxノートブックPC
6.0.39.1111
SP104404
HP ENVY 17m-ce1xxxノートブックPC
6.0.39.1111
SP104404
HP ENVY x360 - 15t-cn000 CTO
5.5.11.1093
SP104433
HP ENVY x360 - 15t-dr000 CTO
6.0.39.1111
SP104404
HP ENVY x360 - 15t-dr000 CTO (Validity FPS)
5.5.26.1102
SP104409
HP ENVY x360 - 15t-dr100 CTO
6.0.39.1111
SP104404
HP ENVY x360 - 15t-dr100 CTO (Validity FPS)
5.5.26.1102
SP104409
HP ENVY 15-cn0xxx x360コンバーチブルPC
5.5.11.1093
SP104433
HP ENVY 15-cn1xxx x360コンバーチブルPC
5.5.11.1093
SP104433
HP ENVY 15-dr0xxx x360コンバーチブル
6.0.39.1111
SP104404
HP ENVY 15-dr0xxx x360コンバーチブル (Validity FPS)
5.5.26.1102
SP104409
HP ENVY 15-dr1xxx x360コンバーチブル
6.0.39.1111
SP104404
HP ENVY 15-dr1xxx x360コンバーチブル (Validity FPS)
5.5.26.1102
SP104409
HP ENVY 15m-cn0xxx x360コンバーチブルPC
5.5.11.1093
SP104433
HP ENVY 15m-dr0xxx x360コンバーチブル
6.0.39.1111
SP104404
HP ENVY 15m-dr0xxx x360コンバーチブル (Validity FPS)
5.5.26.1102
SP104409
HP ENVY 15m-dr1xxx x360コンバーチブル
6.0.39.1111
SP104404
HP ENVY 15m-dr1xxx x360コンバーチブル (Validity FPS)
5.5.26.1102
SP104409
HP Pavilion x360 - 14t-cd000 CTO
5.5.11.1093
SP104433
HP Pavilion x360 - 15t-dq000 CTO
5.5.8.1116
SP104359
HP Pavilion x360 - 15t-dq100 CTO
5.5.8.1116
SP104359
HP Pavilion x360 14t-cd100 CTO
5.5.11.1093
SP104433
HP Pavilion x360 14t-dh000 CTO
5.5.8.1116
SP104359
HP Pavilion 14-cd1xxx x360コンバーチブルPC
5.5.11.1093
SP104433
HP Pavilion 14-cd2xxx x360コンバーチブルPC
5.5.11.1093
SP104433
HP Pavilion 14-dh0xxx x360コンバーチブルPC
5.5.8.1116
SP104359
HP Pavilion 14m-cd0xxx x360コンバーチブルPC
5.5.11.1093
SP104433
HP Pavilion 14m-dh0xxx x360コンバーチブルPC
5.5.8.1116
SP104359
HP Pavilion 15-dq0xxx x360コンバーチブルPC
5.5.8.1116
SP104359
HP Pavilion 15-dq1xxx x360コンバーチブルPC
5.5.8.1116
SP104359
HP Spectre x360 - 13t-ap000 CTO
5.5.26.1102
SP104096
HP Spectre x360 - 15t-df100 CTO
5.5.26.1102
SP104096
HP Spectre 13-ap0xxx x360コンバーチブルPC
5.5.26.1102
SP104096
HP Spectre 15-df1xxx x360コンバーチブルPC
5.5.26.1102
SP104096
サードパーティセキュリティパッチ:HPソフトウェア製品を実行するシステムにサードパーティセキュリティパッチをインストールするかどうかは、お客様のパッチ管理方針によります。
サポート:このセキュリティ通告の推奨事項の導入に関連して生じる問題については、 https://www.hp.com/go/contacthpでHPのサポートオプションをご覧ください。
レポート:HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポートするには、 hp-security-alert@hp.comまで電子メールを送信してください。
購読:電子メール経由で将来のHPセキュリティ通告のアラートを受信するための購読申し込みは、 https://www.hp.com/go/alertsにアクセスしてください。
セキュリティ通告アーカイブ:公表されているセキュリティ通告を確認するには、 HPサポートサイトで「セキュリティ通告」を検索してください。
ソフトウェア製品カテゴリ:ソフトウェア製品カテゴリは、タイトル内のHPSBに続く2文字によって表されます。
PI
HP Printing and Imaging (HP印刷およびイメージング)
HF
HP Hardware and Firmware (HPハードウェアおよびファームウェア)
GN
HP General Software (HP一般ソフトウェア)
HPに伝えるセキュリティ関連の情報 (特に悪用情報) は、PGPを使用して暗号化することが強く推奨されます。
セキュリティアラートのPGPキーを入手するには、以下のような電子メールメッセージを送信してください。
hp-security-alert@hp.comまでお問い合わせください。
件名:getキー
システム管理およびセキュリティ手順は、システムの整合性を維持するために時々見直す必要があります。 HP は頻繁にソフトウェア製品のセキュリティ機能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを提供していきます。 

"HPは、この報告に含まれている重要なセキュリティ情報の影響を受けるHP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布しています。 HPは、すべてのユーザがこの情報をユーザ個別の状況に適用し、適切なアクションをとることをお勧めします。 HPはこの情報が必ずしもすべてのユーザ状況において正確または完全であるということを保証するわけではありません。よって、HPはこの報告で提供されている情報のユーザによる使用または無視から生じる損害に関して責任を負いません。 法律で許可される範囲に限り、HPは明示的または暗示的に関わらず商品能力および特定目的、所有権、および非侵害の適合に関する保証を含む、すべての保証責任を放棄します。"
リビジョン履歴 : バージョン:1 - 2020年7月14日、初回リリース。

HP Inc.は、本書の内容につきましては万全を期しておりますが、本書の技術的あるいは校正上の誤り、省略に対して責任を負いかねますのでご了承ください。 本書の内容は「現状通り」に提供されるものとし、いずれの保証の対象にもならないものとします。 法律で許可される範囲に限り、HPまたはその関連会社、下請け業者、供給業者は、不稼働時間の費用、利益の損失、代替品または代替サービスの調達にかかわる損害、データの消失またはソフトウェアの復元による損害を含む、偶発的、間接的または特別の損害について責任を負いません。 本書の情報は予告なしに変更されることがあります。 HP Inc.およびここで参照されているHP製品の名称は、HP Inc.の米国およびその他の国における商標です。 本書に掲載されている会社名、製品名は、それぞれ各社の商標または登録商標です。