戴爾發布遠程利用 BIOS 漏洞的修復程序，影響 30 萬台筆記本電腦，立即下載

我們上週寫了 戴爾遠程 BIOS 更新軟件中的一個缺陷 這使戴爾筆記本電腦受到中間人攻擊，允許攻擊者在多達 129 種不同戴爾筆記本電腦型號的 BIOS 中遠程執行代碼。

“這種攻擊將使攻擊者能夠控制設備的啟動過程並破壞操作系統和更高層的安全控制，”Eclypsium 研究人員解釋說。

Eclypsium 表示，多達 30 萬台設備受到影響，其中包括消費者和商務筆記本電腦、台式機和平板電腦。

問題在於 BIOSConnect 功能，它是戴爾 SupportAssistant 的一部分。 大多數戴爾 Windows 設備都預裝了此功能。

該服務使用從 BIOS 到戴爾的不安全 TLS 連接，並具有三個溢出漏洞，允許攻擊者向設備提供他們選擇的任何軟件。

Eclypsium 說，其中兩個溢出安全漏洞“影響操作系統恢復過程，而另一個影響固件更新過程”。 “這三個漏洞都是獨立的，每個漏洞都可能導致 BIOS 中的任意代碼執行。”

研究人員 說所有設備都需要更新其 BIOS，並建議不要使用戴爾的 BIOSConnect 功能來執行此操作。

戴爾已承認高影響問題 並在今天發布了修復程序。

他們的支持頁面說明：

DSA-2021-106：作為戴爾客戶端 BIOS 一部分的 BIOSConnect 和 HTTPS 引導功能中的多個漏洞的戴爾客戶端平台安全更新
摘要：戴爾正在針對影響 BIOSConnect 和 HTTPS 引導功能的多個安全漏洞發布補救措施。

請瀏覽 戴爾在這裡 並立即下載補丁。

通過 窗戶俱樂部