Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2009年以降のDell製端末のドライバに脆弱性 - アップデートが順次公開、未提供の場合も削除を

Dell製の端末において2009年以降導入されているドライバ「Dell Bios Utility(dbutil)」に脆弱性が明らかとなった。アップデートが呼びかけられている。

Dell製端末向けのドライバ「dbutil_2_3.sys」にメモリ破損や入力検証の不備などに起因する権限の昇格やサービス拒否が生じる脆弱性「CVE-2021-21551」が明らかとなったもの。

脆弱性を悪用するには、ローカル環境へのアクセス権限が必要としており、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を4段階中2番目に高い「高(High)」とレーティングしている。

同ドライバは、同社が出荷する「Windows」にプリインストールされているほか、ファームウェアアップデートユーティリティパッケージのほか、同社のアップデートエージェントなどにより配信されており、同社の600近いモデルが影響を受ける。

SentinelOneの研究者が発見し、2020年12月にDellへ報告した。報告を受けたDellでは、5月4日にセキュリティアドバイザリを公開しているが、同日時点で脆弱性の悪用は確認されていないという。

(Security NEXT - 2021/05/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
「Spring Framework」にパストラバーサルの脆弱性
「Spring Framework」に複数のDoS脆弱性 - アップデートで修正
「Apache OFBiz」に複数の脆弱性 - アップデートで修正
Ruby環境向け「SAMLライブラリ」に深刻な脆弱性
ビデオ会議の「Zoom」、9月の定例アドバイザリは1件のみ
「WordPress」向けLMS構築プラグインに複数のSQLi脆弱性
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も
「Cisco IOS XR」など複数Cisco製品に脆弱性
Ivanti、3製品に関するセキュリティアドバイザリを公開