headless 曰く、

Medtronic製の植込み型心臓電気生理学デバイス(CIED)用プログラマーのソフトウェアアップデート機能で、リモートから患者を攻撃可能な脆弱性が見つかったそうだ(セキュリティ情報: PDF、 FDAの発表、 The Registerの記事、 Softpediaの記事)。

対象となるプログラマーはCareLink 2090とCareLink 20091で、脆弱性が見つかったのは同社のソフトウェア配布ネットワーク(SDN)からインターネット経由でアップデートする機能だ。Medtronicは当初、外部からの脆弱性報告を受けてセキュリティ情報を2月に公開し、6月にも更新情報を公開していた。この段階では特定のファイルを定期的にチェックするだけで対応可能と考えられていたようだ。しかし、米食品医薬品局(FDA)とともに脆弱性を精査した結果、脆弱性を悪用することでリモートから患者に危害を加えることが可能なことが判明したという。

Medtronicは対策としてインターネット経由のアップデート配布を無効化しており、アップデートが必要な場合は同社の担当者がUSB経由でインストールする。脆弱性自体を修正するアップデートは現在のところ開発されていないようだ。CIEDのプログラム設定にネットワーク接続は必要なく、そのほかのネットワーク接続が必要な機能は今回の脆弱性の影響を受けないとのことだ。