戴爾 BIOS 軟體可供遠端利用，影響 30 萬台筆記型電腦

安全研究 Eclypsium 發現戴爾的遠程 BIOS 更新軟件對中間人攻擊開放，允許攻擊者遠程執行多達 129 種不同戴爾筆記本電腦型號的 BIOS 中的代碼。

“這種攻擊將使攻擊者能夠控制設備的啟動過程並破壞操作系統和更高層的安全控制，”Eclypsium 研究人員解釋說。

Eclypsium 表示，多達 30 萬台設備受到影響，其中包括消費者和商務筆記本電腦、台式機和平板電腦。

問題在於 BIOSConnect 功能，它是戴爾 SupportAssistant 的一部分。 大多數戴爾 Windows 設備都預裝了此功能。

該服務使用從 BIOS 到戴爾的不安全 TLS 連接，並具有三個溢出漏洞，允許攻擊者向設備提供他們選擇的任何軟件。

Eclypsium 說，其中兩個溢出安全漏洞“影響操作系統恢復過程，而另一個影響固件更新過程”。 “這三個漏洞都是獨立的，每個漏洞都可能導致 BIOS 中的任意代碼執行。”

研究人員表示，所有設備都需要更新其 BIOS，並建議不要使用戴爾的 BIOSConnect 功能來執行此操作。

更多內容  Eclypsium 的報告在這裡 以及受影響設備型號的完整列表 戴爾的諮詢.

通過 BleepingComputer