Eclypsiumは6月24日(米国時間)、「Eclypsium Discovers Multiple Vulnerabilities in Dell BIOSConnect」において、同社の研究者がDELLクライアントBIOS内のBIOSConnect機能に影響を与える複数の脆弱性を発見したと伝えた。これら脆弱性を悪用されると、サイバー犯罪者が権限を持ったネットワークにおいてDell.comになりすまし、対象となるDELL製PCにおいてBIOS/UEFIレベルで任意のコードを実行される危険性があるという。DELLはこの脆弱性の影響を受けるPCは129モデルに及ぶと説明しており、注意が必要だ。
-
Eclypsium Discovers Multiple Vulnerabilities in Dell BIOSConnect
PCベンダーはユーザーがソフトウェアやファームウェアを最新バージョンへアップデートするように勧めることに苦心している。今回、脆弱性が発見されたのも、そうしたユーザーに対してアップデートを促すためのソフトウェアであり、その機能を悪用したものだ。
脆弱性が発見されたソフトウェアはWindowsが搭載されたほとんどのDELL製PCにプレインストールされていると推定されている。DELLは129モデルが影響を受けると説明していることから、世界中でかなりの台数のPCがこれら脆弱性の影響を受けるおそれがある。脆弱性はCVSSスコアが8.3で深刻度「重要」に分類されている。
DELLは、この脆弱性は修正可能としており、影響を受けるすべてのモデルに対してアップデートを提供するものとみられる。今後、DELLからセキュリティアドバイザリの発行やアップデートの提供が行われると考えられ、該当するデバイスを使用している場合はDELLからの情報提供に注目するとともに、アップデートの提供が始まったら迅速に対処することが望まれる。
