セキュリティ・ベンダーの米eEye Digital Securityは現地時間3月5日,米D-Linkのファームウエアにセキュリティ・ホールが存在することを明らかにした(日本語訳)。悪用されると,同ファームウエアを搭載するルーター機器を乗っ取られる恐れがある。ただし,セキュリティ・ホールの詳細については未公表。
eEye Digital Securityでは,ソフトウエア製品にセキュリティ・ホールを見つけると,まずはその情報をベンダーだけに知らせている。今回のセキュリティ・ホールについては,現地時間2月27日にD-Linkに通知したとしている。
ベンダーに通知後,同社ではセキュリティ・ホールの概要だけを記したアドバイザリ「Upcoming Advisories」を公表している。Upcoming Advisoriesを公表する目的は,早く対策するようベンダーに圧力をかけるためであるという(関連記事)。
Upcoming Advisoriesを公開した時点では,修正パッチや修正版は用意されていない。同社では,悪用されることを防ぐため,セキュリティ・ホールの詳細についてはUpcoming Advisoriesに記述しない。
今回の情報も,Upcoming Advisoriesの一つとして公表された。このため,影響を受けるファームウエアのバージョン(種類)やセキュリティ・ホールの詳細は公表していない。「D-Linkのファームウエアに存在する」および「悪用された場合にはルーター上で任意のコードを実行されて,ルーターを乗っ取られる可能性がある」の2点だけを伝えている。
詳細を記述したアドバイザリは,D-Linkが修正パッチあるいは修正バージョンをリリースした後に,公表する予定である。
◎参考資料
◆Upcoming Advisories(米eEye Digital Security)
◆eEye Advisories 未発表アドバイザリ(住商情報システム)
