Společnost DELL v úterý vydala bezpečnostní upozornění na chybu v ovladači DBUtil, který slouží k aktualizaci firmwaru počítačů od třetího největšího výrobce PC na světě. Zároveň s tím vydala jeho novou, opravenou verzi. Chybu objevil Kasif Dekel ze společnosti Sentinel Labs.

Vlastně nejde jen o jednu chybu, ale o pět různých slabin umožňujících útočníkům získat vyšší oprávnění v rámci operačního systému (elevation of privilege) a provést útok typu znepřístupnění služby (denial of service).

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Počítače značky Dell jsou šťavnatá kořist. Jsou obecně pokládány za kvalitní a jsou hodně rozšířené zejména ve firmách, kterým Dell nabízí nadstandardní záruky a opravy na místě, bez posílání zařízení do servisů. Problém se navíc týká snad úplně všech PC, které firma za posledních dvanáct let vyrobila.

V seznamu postižených najdeme pracovní stanice Dell Precision, notebooky všech řad od levných Vostro přes herní Inspirony až po profesionální Latitude, odolné počítače pro extrémní podmínky a armádu, firemní řadu Optiplex a ultrabooky XPS. 

Kybernetickou bezpečnost počítačového systému si lze představit jako pyramidu, kde jednotlivá patra stojí na sobě a bezpečnost a stabilita vyšších pater závisí na bezpečnosti a stabilitě těch pod ním. Pokud je něco v nepořádku s nižšími patry, ta vyšší s tím vesměs nedokážou nic udělat. Nejnižším patrem je samozřejmě hardware. Ale jenom o málo nad ním je vrstva driverů – ovladačů. Ty umožňují operačnímu systému a dalším programům, aby s hardwarem komunikovaly. Právě na nich z velké části závisí stabilita a bezpečnost celého systému. Problém je, že psaní ovladačů je poněkud specifická a mírně ezoterická disciplína. Jde o nízkoúrovňové programování, kde není možné použít řadu vyšších technik, které třeba brání některým typům bezpečnostních chyb. A programátorů, kteří mají patřičné nízkoúrovňové dovednosti a znalosti, není mnoho.

Ovladač od Dellu obsahoval pět ve své podstatě primitivních chyb. Poškození paměti (útočník může zapisovat, kam nemá) a nedostatečná validace vstupu jsou problémy tak staré jako výpočetní technika jako obor. Vysokoúrovňové programovací nástroje jim dokážou často zabránit nebo na ně alespoň upozornit. Jenomže v nich se ovladače hardware psát moc nedají.

Dell v tom není sám. Problémy s bezpečností ovladačů měla NVIDIA, Realtek u snad nejpoužívanějšího zvukového čipu vůbec, Nahimic (další zvukové karty) i řada dalších, včetně rozšířených značek jako Asus, ASRock, AMD/ATI, SuperMicro, Toshiba, MSI nebo Intel. Problémy se netýkají jenom běžných kancelářských počítačů, ale i embedded systémů, včetně třeba bankomatů.

Uklidněním pro uživatele může být, že zranitelnost sama není využitelná po síti. Aby útočník mohl chyb v ovladači využít, musí jeho kód běžet lokálně. Jakmile se mu to ovšem povede – byť třeba pod účtem s nízkými oprávněními –, může získat kontrolu nad celým systémem.

Pokud máte postižený Dell, aktualizujte neprodleně dle instrukcí odkazovaných v úvodu článku. Pokud máte jinou značku, můžete si oddechnout. Pro tentokrát – řada na vás přijde až příště.