デル製のパソコンをお使いの方以外は関係ない話でありますが、デルが提供しているサポート用ソフトウェア「Dell System Detect」に不正に任意のファイルを送り込まれて実行させられるという脆弱性が発見されました。
デルはすでにこの脆弱性について対策済みの「バージョン6.0.0.14」をリリースしていますので、それ以前のバージョンを使っているユーザーはすぐにアップデートされた方が安全です。
ソフトウェアのバージョンは「Dell System Detect」を起動すれば確認することができます。
御自分のパソコンにインストールされているかどうかが分からない場合には、コントロールパネルから「プログラムのアンインストール」を見て一覧にあるかどうかを確認されると良いでしょう。インストールされていない方は問題ありません。
「Dell System Detect」は「dell.com」とついたサーバにアクセスして最新ドライバ等を自動ダウンロード・インストールしてくれるのですが、単に「dell」の文字列が含まれるサーバ全てを許容してしまうという問題があるそうです。
つまり「http://xxxxx.com/dell」のように単に「dell」の文字列が含まれていれば、どこでも許容されてしまい、悪意のある攻撃者が不正にマルウェアを送り込んだりプログラムを起動させることが可能になってしまうそうです。
デルはセキュリティ専門家のTom Forbes氏からの報告を受け既に対策を講じており、この問題はDSDを最新バージョンに更新することで回避することができるようになるようです。
但し、「Dell System Detect」は自動アップデートに対応しておりませんのでユーザーが自分でアップデートを実行する必要があります。
2015年4月初頭の時点で最新バージョンを利用しているユーザーは全体の1%にすぎず、99%のユーザーは脆弱性の残る旧バージョンを使い続けているとの見解もありますので、早急にアップデートされる事をお勧めします。
Dellのサイトにアクセスし、上部にある「サポート」をクリック、少し下に「サポートへ」と表示されますので、それをクリック。
「重要な情報: 新しいアップデートをご利用いただけます。最新バージョンのDell System Detectは、セキュリティとパフォーマンスがさらに強化されました。このバージョンをインストールすることをお勧めします。今すぐアップデート」
と表示されますので、最後の「今すぐアップデート」をクリックして頂ければ最新版のダウンロードが可能になります。
ダウンロードしたファイルを実行する事で最新版になります。
上記辿っていくのが面倒なら下記URLを指定すれば直接ダウンロード可能です。
https://downloads.dell.com/tools/dellsystemdetect/dellsystemdetect.application
