戴尔远程 BIOS 更新软件中的一个缺陷,该漏洞使戴尔笔记本电脑受到中间人攻击,允许攻击者远程执行多达 129 种不同戴尔笔记本电脑型号的 BIOS 中的代码。
Eclypsium 表示,多达 3000 万台设备受到影响,其中包括消费者和商务笔记本电脑、台式机和平板电脑。
问题在于 BIOSConnect 功能,它是戴尔 SupportAssistant 的一部分。大多数戴尔 Windows 设备上都预装了此功能。
该服务使用从 BIOS 到戴尔的不安全 TLS 连接,并且存在三个溢出漏洞,允许攻击者将他们选择的任何软件传送到设备。
Eclypsium 说,其中两个溢出安全漏洞“影响操作系统恢复过程,而另一个影响固件更新过程”。“这三个漏洞都是独立的,每个漏洞都可能导致 BIOS 中的任意代码执行。”
该研究人员说,所有的设备都需要有自己的BIOS更新,并建议戴尔BIOSConnect功能不能使用做到这一点。
戴尔已承认高影响问题,并于今天发布了修复程序。
他们的支持页面指出:
DSA-2021-106:戴尔客户端平台安全更新针对 BIOSConnect 和 HTTPS 引导功能中的多个漏洞作为戴尔客户端 BIOS 的一部分
摘要:戴尔正在发布针对影响 BIOSConnect 和 HTTPS 引导功能的多个安全漏洞的补救措施。
立即访问戴尔并下载补丁。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun57638.html