戴爾發布BIOSConnect安全漏洞修補程序 影響3000多萬台設備

上周,MSPU 報道了戴爾遠程 BIOS 更新軟件正存在的一個漏洞,或導致多達 129 款不同型號的電腦遭遇中間人攻擊。Eclypsium 研究人員解釋稱,該漏洞使得遠程攻擊者能夠執行多款戴爾筆記本電腦的 BIOS 代碼,進而控制設備的啟動過程、並打破操作系統和更高層級的安全機制。

戴爾發布BIOSConnect安全漏洞修補程序 影響3000多萬台設備

此外 Eclypsium 指出,受影響的設備數量超過了 3000 萬台,並且涵蓋了戴爾的消費級 / 商務本、台式機、以及平板電腦產品線。

至於問題的根源,其實出在戴爾 BIOS 更新軟件 —— BIOSConnect 的身上。作為戴爾支持幫助(SupportAssistant)服務的一部分,該公司在大多數 Windows 設備上都預裝了它。

然而在客戶機到服務器端的連接過程中,BIOSConnect 使用了不安全的 TLS 連接。結合三個溢出漏洞,使得攻擊者能夠將特定的軟件傳送到用戶設備上。

其中兩個溢出型的安全漏洞會對操作系統的恢復過程產生影響,而另一個則影響固件的更新過程。但這三個漏洞都是相互獨立存在的,最終都可能導致 BIOS 中的任意代碼執行。

研究人員建議所有受影響的設備用戶手動執行 BIOS 更新,且戴爾官方也應該主動砍掉 BIOSConnect 軟件中用不到的功能。

慶幸的是,目前戴爾已經承認了相關問題,並於今日發布了修補程序。該公司在支持頁面上寫道:

DSA-2021-106:這是一項針對戴爾客戶端平台的安全更新,旨在修復 BIOSConnect 和 HTTPS 引導功能中的多個漏洞。

下載地址:

https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature

(0)
上一篇 2021-06-30 16:04
下一篇 2021-06-30 16:15

相关推荐