Dell on julkaissut tietokoneilleen päivityksen oheisohjelmiston vakavaan haavoittuvuuteen, joka on voinut mahdollistaa hyökkääjille haluamansa ohjelmakoodin ajamisen Dell-tietokoneissa, kertoo ZDNet-sivusto.
Haavoittuvuus löytyi Dellin SupportAssist-työkalusta, joka on tarkoitettu esimerkiksi ongelmien debuggaukseen, diagnostiikkaan ja ajurien automaattisiin päivityksiin.
Haavoittuvuuden uskotaan koskettavan erittäin suurta määrää käyttäjiä, sillä SupportAssistant-sovellus on ollut asennettuna kaikkiin Dellin tietokoneisiin Windows-käyttöjärjestelmällä.
Dell julkaisi korjauksen 23. huhtikuuta. Haavoittuvuudesta Dellille tiedotti vain 17-vuotias tietoturvatutkija Bill Demirkapi.
Osaltaan haavoittuvuuden vaarallisuutta on vähentänyt se, että hyökkäys onnistuu vain samaan verkkoon kytkeytyneenä. Esimerkiksi julkisiin Wi-Fi-verkkoihin Dell-tietokoneella liityttäessä haavoittuvuuden hyödyntäminen olisi ollut kuitenkin mahdollista. Samoin, jos yritysverkossa on jo saastunut laite.
Samassa verkossa ollessa kohde täytyy houkutella vielä hyökkääjän verkkosivustolle, jossa JavaScript-koodin avulla Dell SupportAssistant on huijattavissa lataamaan ja ajamaan hyökkääjän haluamia ohjelmia. SupportAssistant ei ole varmistanut oikealla tavalla tiedostojen alkuperää.
Haavoittuvuuden vaarallisuutta lisää se, ettei se muuten vaadi käyttäjältä mitään erityisiä toimenpiteitä verkkosivustolla vierailun lisäksi.
Haavoittuvuuden korjaava versio SupportAssist-ohjelmistosta on v3.2.0.90 ja se on ladattavissa Dellin sivuilta.
Haavoittuvuuden löytänyt Demirkapi julkaisi myös alta löytyvän videon haavoittuvuuden hyväksikäytöstä.