תיקון שחרור של Dell עבור פגם ב-BIOS של ניצול מרחוק המשפיע על 30 מיליון מחשבים ניידים, הורד את שלך עכשיו

כתבנו בשבוע שעבר של פגם בתוכנת עדכון ה-BIOS המרוחק של Dell זה פותח את המחשבים הניידים של Dell למתקפה של אדם באמצע, מה שמאפשר לתוקפים לבצע מרחוק קוד בתוך ה-BIOS של עד 129 דגמי מחשב ניידים שונים של Dell.

"התקפה כזו תאפשר ליריבים לשלוט בתהליך האתחול של המכשיר ולחתור למערכת ההפעלה ולבקרות אבטחה בשכבה גבוהה יותר", מסבירים חוקרי אקלסיום.

אקליפסיום אמר כי עד 30 מיליון מכשירים, הכוללים מחשבים ניידים, מחשבים שולחניים וטאבלטים לצרכנים ולעסקים מושפעים.

הבעייתיות היא תכונת BIOSConnect, שהיא חלק מה-SupportAssistant של Dell. תכונה זו מותקנת מראש ברוב מכשירי Windows של Dell.

השירות משתמש בחיבור TLS לא מאובטח מ- BIOS ל- Dell ויש לו שלוש נקודות תורפה הצפות המאפשרות לתוקפים לספק כל תוכנה שתבחר למכשירים.

שניים מפגמי האבטחה הגלומים "משפיעים על תהליך שחזור מערכת ההפעלה, בעוד השני משפיע על תהליך עדכון הקושחה", אומר Eclypsium. "כל שלוש הפגיעויות אינן תלויות, וכל אחת מהן עלולה להוביל לביצוע קוד שרירותי ב-BIOS."

השמיים חוקרים נניח שכל המכשירים צריכים לעדכן את ה-BIOS שלהם, וממליצים שלא להשתמש בתכונת BIOSConnect של Dell לשם כך.

Dell הכירה בבעיית ההשפעה הגבוהה והיום שחרר תיקון.

הערות בדף התמיכה שלהם:

DSA-2021-106: עדכון אבטחת פלטפורמת לקוח של Dell עבור פגיעויות מרובות בתכונות ה-BIOSConnect ו-HTTPS אתחול כחלק מה-BIOS של לקוח Dell
תקציר: Dell משחררת תיקונים עבור פרצות אבטחה מרובות המשפיעות על תכונות BIOSConnect ו-HTTPS Boot.

לְבַקֵר דל כאן והורד את התיקון היום.

באמצעות מועדון החלונות