https://pc.watch.impress.co.jp/img/pcw/docs/1322/651/01_o.jpg
セキュリティ企業のSentinelOneは、デルのデスクトップPC、ノートPC、タブレットに提供されているファームウェアアップデート用ユーティリティなどに、攻撃者が管理者以外のユーザーからカーネルモードの特権に昇格させることができる脆弱性があると発表した。
SentinelOne | Autonomous AI Endpoint Security Platform(英文)
https://www.sentinelone.com/
SentinelOneはこの脆弱性が2009年から存在していると指摘しており、世界中の数億台のデバイスが対象となっているとする。デルはこの不具合について、ユーティリティなどに含まれるドライバ「dbutil_2_3.sys」を削除することで回避できるとしており、Dell Security Advisory Updateを使用してアップデートすることを推奨している。また、5月10日以降にリリースされる通知アプリからも実行できるようになるとしている。
□Dell Security Advisory Update – DSA-2021-088 | ドライバの詳細 | Dell 日本
https://www.dell.com/support/home/ja-jp/drivers/driversdetails?driverid=7pr57
対象機種やドライバなどの詳細情報はデルの公式サポートページ(英文)を参照されたい。
□関連リンク
デルのホームページ
https://www.dell.com/ja-jp
デルの公式サポートページ(英文)(当方の環境からはリダイレクト制限で表示できません)
https://www.dell.com/support/kbdoc/ja-jp/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability
SentinelOneの記事(英文)
https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/
2021年5月6日 12:00
PC Watch
https://pc.watch.impress.co.jp/docs/news/1322651.html
地味に影響大きそう
つーかなんでそんなファイルが、まさかバックドア?
pcは自作が安全
無駄が無いから余計なセキュリティの脆弱性も無い
メーカー製pcは必ず余計なボタンと余計なソフトが組み込まれて
無駄に価格が高い
おまけにセキュリティホール付きとか最悪でしょ
棒マザーボードメーカーOS上で使うBIOSアップデートツールでも同じような脆弱性があったわけだが
まぁファームアップとか自分でやらない人なんでしょう
マルウェア仕込んだファームウェアを知らないうちに書き込まれる可能性もゼロじゃない
UEFIからしか書き換えできない方がセキュリティ的によろしいのでは
中国工場のチョーセンジンが画鋲で穴開けてた
10年前の話だけど
それって誰得?
ていうか動くか?
そもそも電解コンデンサは内圧高まったら爆発する前に減圧できるよう、安全に破裂しやすいように作ってある。
穴があいていたら電解液が蒸発するので、すぐに故障する
次回購入pcをdellとhpで迷ってたがhpにでもするかな
HPは昔のキーロガーの件以来避けるようにしてるなあ
>>2009年から存在
ちょうど、デルのワークステーションからhpのワークステーションに乗り換えた時期だな・・・
1台だけ電源入れれば動くPrecisionが残ってるけど、運用はおしまいだな
マザボ交換したんだけど、どうしたらいい?
Gateway 2000懐かしいな
会社で買ったけどPentiumのバグでサービスの人がCPUの入れ替えに来たわ
□Dell Security Advisory Update – DSA-2021-088 | ドライバの詳細 | Dell 日本
https://www.dell.com/support/home/ja-jp/drivers/driversdetails?driverid=7pr57
OptiPlexは対象外のようだ…が、本当に大丈夫なのか?
買ってすぐにHDDからガリッって音がして、中開けたら海門だったよ。
もう二度と買うか。
安かったのに結構しぶとく頑張ってくれてるわ
それだけじゃ不十分?
それって脆弱性じゃなくてバックドアだろwww