Dell on julkaissut tietokoneilleen päivityksen oheisohjelmiston vakavaan haavoittuvuuteen, joka on voinut mahdollistaa hyökkääjille haluamansa ohjelmakoodin ajamisen Dell-tietokoneissa, kertoo ZDNet-sivusto.
Haavoittuvuus löytyi Dellin SupportAssist-työkalusta, joka on tarkoitettu esimerkiksi ongelmien debuggaukseen, diagnostiikkaan ja ajurien automaattisiin päivityksiin.
Haavoittuvuuden uskotaan koskettavan erittäin suurta määrää käyttäjiä, sillä SupportAssistant-sovellus on ollut asennettuna kaikkiin Dellin tietokoneisiin Windows-käyttöjärjestelmällä.
Dell julkaisi korjauksen 23. huhtikuuta. Haavoittuvuudesta Dellille tiedotti vain 17-vuotias tietoturvatutkija Bill Demirkapi.
Osaltaan haavoittuvuuden vaarallisuutta on vähentänyt se, että hyökkäys onnistuu vain samaan verkkoon kytkeytyneenä. Esimerkiksi julkisiin Wi-Fi-verkkoihin Dell-tietokoneella liityttäessä haavoittuvuuden hyödyntäminen olisi ollut kuitenkin mahdollista. Samoin, jos yritysverkossa on jo saastunut laite.
Samassa verkossa ollessa kohde täytyy houkutella vielä hyökkääjän verkkosivustolle, jossa JavaScript-koodin avulla Dell SupportAssistant on huijattavissa lataamaan ja ajamaan hyökkääjän haluamia ohjelmia. SupportAssistant ei ole varmistanut oikealla tavalla tiedostojen alkuperää.