Dell製品にプライベート鍵含む証明書インストールの脆弱性

Vulnerability Notes Databaseは11月24日(米国時間)、「Homelang Security｜Vulnerability Notes Database - Advisory and mitigation information about software vulnerabilities」に掲載された記事「Vulnerability Note VU#925497 - Dell System Detect installs root certificate and private key (DSDTestProvider)」が、Dellが販売しているPCやタブレットデバイスにルート証明書に加えてプライベートキーをインストールするといった脆弱性が存在していることを指摘した。

Dellが販売しているWindowsベースのPCおよびタブレットデバイスの中には、Dell System Detect(DSD)と呼ばれるソフトウェアがプリインストールされているものがある。このソフトウェアはDell Support Webサイトと通信するが、プライベートキーを含んだ状態でルート証明書をインストールするという不具合があるという。

この脆弱性を悪用されると、攻撃者がDSDTestProvider CAによって署名された証明書を生成することができてしまう。VNDではWindowsサーティフィケートマネージャを使ってDSDTestProvider証明書を無効化するなどの対処を行うことを推奨している。