最近,由于公司 BIOS 更新软件中的错误,数百万台戴尔笔记本电脑变得容易受到攻击。该公司证实,戴尔现已承认该缺陷,并正在为受影响的机器推出补丁。
由于存在该漏洞,攻击者可以通过远程执行代码发起中间人攻击以渗透 BIOS。Eclypsium 研究人员发现了这个问题,他们表示该缺陷影响了 129 款戴尔笔记本电脑型号。
“这种攻击将使攻击者能够控制设备的启动过程并破坏操作系统和更高层的安全控制,”安全研究公司解释说。
这 129 款机型在全球的销量约为 3000 万台,涵盖消费者和企业领域的戴尔客户。换句话说,这个bug导致很多问题的可能性是显而易见的。
用户几乎无能为力,因为包含漏洞的 BIOSConnect 功能已作为公司 SupportAssistant 的一部分预装在所有戴尔笔记本电脑上。运行 Microsoft Windows 的戴尔笔记本电脑在 BIOS 和戴尔之间运行着 TLS 连接,以使 SupportAssistant 变得有用。
修补
但是,这种连接是不安全的,发现存在三个漏洞。如果攻击者可以利用该漏洞,他们就可以访问系统并能够更改笔记本电脑上的任何软件。
Eclypsium 指出,其中两个漏洞“影响操作系统恢复过程,而另一个影响固件更新过程”。“这三个漏洞都是独立的,每个漏洞都可能导致 BIOS 中的任意代码执行。”
戴尔对该报告的回应表明,该公司本周推出了一个修复程序,即所谓的“高影响”漏洞。在其支持页面上,戴尔表示如下:
“ DSA-2021-106:戴尔客户端平台安全更新针对 BIOSConnect 和 HTTPS 引导功能中的多个漏洞作为戴尔客户端 BIOS 的一部分
摘要:戴尔正在发布针对影响 BIOSConnect 和 HTTPS 引导功能的多个安全漏洞的补救措施。”
当然,如果您有戴尔笔记本电脑,您应该尽快使用此补丁进行更新。
未经允许不得转载:表盘吧 » 戴尔发布影响数百万 Windows PC 的 BIOS 问题补丁
