ope官网

ope客户端
       

戴尔又现高危缝隙近3000万台电脑面对被长途操控危险

更新日期:2021-10-08 03:18:23 来源:ope官网
摘要:

  […]

  据Eclypsium网络安全研究人员6月24日发表,戴尔客户端BIOS内的BIOSConnect功用存在4个严峻缝隙。

  据Eclypsium网络安全研究人员6月24日发表,戴尔客户端BIOS内的BIOSConnect功用存在4个严峻缝隙。这些缝隙会影响129款类型近3000万台戴尔电脑,进犯者能够借此长途履行恣意代码(RCE)、推翻操作体系、损坏设备。

  研究人员表明,进犯者能够使用这些缝隙在预发动环境中长途履行代码,取得设备的操控权,还能够推翻操作体系。

  129款类型的戴尔设备将受此影响,包含个人笔记本电脑、商务笔记本电脑、台式机和平板电脑,合计约3000万台。

  BIOSConnect是戴尔SupportAssit的一部分,后者是一种技术支持处理方案,预装在大多数根据Windows的戴尔设备上。它具有体系康复和固件更新功用,经过HTTPS连接到戴尔的后台服务器,下载操作体系镜像,协助用户在本地磁盘镜像损坏、被替换或不存在时康复其体系。

  研究人员在剖析陈述中指出,这四个缝隙累计严峻程度为8.3级。这些特定的缝隙答应进犯者长途使用主机的UEFI固件,并取得该设备上的最高操控权。

  第一个缝隙(CVE-2021-21571)是针对长途代码履行缝隙进行使用的初步。一旦第一个缝隙被使用,将恶意代码传回到了受害机器内,进犯者就能够挑选三个不同的独立溢出缝隙(CVE-2021-21572、CVE-2021-21573、CVE-2021-21574)进行进犯,其间任何一个都能够在方针设备上取得预发动RCE权限。

  研究人员还表明,任何进犯状况都需求进犯者重定向受害者的流量,比方经过中心机器(MITM)进犯。

  Eclypsium在3月3日向戴尔陈述了这些问题,随后戴尔在5月28日推出了服务器端更新,以修补CVE-2021-21573和CVE-2021-21574。戴尔还发布了BIOS客户端固件更新,以处理其他两个缝隙。

  此外,戴尔还发布了处理方法,为无法当即使用补丁的客户禁用BIOSConnect和HTTPS发动功用。

  2019年5月,戴尔修补了一个高危的SupportAssist长途代码履行缝隙,该缝隙由不适当的原始验证缝隙导致,安全研究员Bill Demirkapi在2018年陈述了该缝隙。

  安全研究员Tom Forbes在2015年的戴尔体系检测Dell System Detect软件中发现了相似的RCE缝隙,进犯者能够在没有用户交互的状况下,触发有缝隙的程序下载并履行恣意文件。

  2020年2月,SupportAssist再次发布补丁,以处理DLL查找次序绑架bug导致的安全缝隙。

  上个月戴尔还处理了一个或许影响数千万台设备的驱动程序缝隙,该缝隙存在长达12年之久,能够使非管理员用户升级到内核特权。

           
联系我们