Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2009年以降のDell製端末のドライバに脆弱性 - アップデートが順次公開、未提供の場合も削除を

Dell製の端末において2009年以降導入されているドライバ「Dell Bios Utility(dbutil)」に脆弱性が明らかとなった。アップデートが呼びかけられている。

Dell製端末向けのドライバ「dbutil_2_3.sys」にメモリ破損や入力検証の不備などに起因する権限の昇格やサービス拒否が生じる脆弱性「CVE-2021-21551」が明らかとなったもの。

脆弱性を悪用するには、ローカル環境へのアクセス権限が必要としており、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を4段階中2番目に高い「高(High)」とレーティングしている。

同ドライバは、同社が出荷する「Windows」にプリインストールされているほか、ファームウェアアップデートユーティリティパッケージのほか、同社のアップデートエージェントなどにより配信されており、同社の600近いモデルが影響を受ける。

SentinelOneの研究者が発見し、2020年12月にDellへ報告した。報告を受けたDellでは、5月4日にセキュリティアドバイザリを公開しているが、同日時点で脆弱性の悪用は確認されていないという。

(Security NEXT - 2021/05/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chrome」にアップデート、ゼロデイ脆弱性を修正
「Firefox 89.0.1」が公開 - 脆弱性1件を修正
続くVPN機器への攻撃 - 「修正済み」のつもりが無防備だったケースも
「EC-CUBE 3.0」向け複数プラグインに脆弱性 - 一部はすでに悪用も
「AED」などの医療機器のリモート管理ソフトに深刻な脆弱性 - 米政府が注意喚起
Apple、「iOS 12.5.4」をリリース - 悪用報告ある脆弱性2件を修正
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートがリリース
WordPress向けカートプラグインにXSSの脆弱性
「Apache httpd 2.4.48」がリリース - 脆弱性8件を修正
ウェブアプリや周辺インフラにも対応する脆弱性診断サービス