当前位置:首页 > 网站入侵 > 正文内容

戴尔发布 BIOSConnect 安全漏洞修补程序 影响 3000 多万台设备

访客56年前 (1970-01-01)网站入侵828

上周,MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞,或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称,该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码,进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。

此外 Eclypsium 指出,受影响的设备数量超过了 3000 万台,并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。

至于问题的根源,其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。作为戴尔支持帮助(SupportAssistant)服务的一部分,该公司在大多数 Windows 设备上都预装了它。

然而在客户机到服务器端的连接过程中,BIOSConnect 使用了不安全的 TLS 连接。结合三个溢出漏洞,使得攻击者能够将特定的软件传送到用户设备上。

其中两个溢出型的安全漏洞会对操作系统的恢复过程产生影响,而另一个则影响固件的更新过程。但这三个漏洞都是相互独立存在的,最终都可能导致 BIOS 中的任意代码执行。

研究人员建议所有受影响的设备用户手动执行 BIOS 更新,且戴尔官方也应该主动砍掉 BIOSConnect 软件中用不到的功能。

庆幸的是,目前戴尔已经承认了相关问题,并于今日发布了修补程序。该公司在支持页面上写道:

DSA-2021-106:这是一项针对戴尔客户端平台的安全更新,旨在修复 BIOSConnect 和 HTTPS 引导功能中的多个漏洞。

下载地址:

https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32369.html

返回列表

没有更早的文章了...

下一篇:如何找回qq密码(手机号也停用了)

“戴尔发布 BIOSConnect 安全漏洞修补程序 影响 3000 多万台设备” 的相关文章

研究人员通过人工智能利用推特预测粮食短缺问题

宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示,推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。 他们发现,在COVID-19大流行的早期,在美国某些州,表达愤怒、厌恶或恐惧的与食品安全有关的推文与实际的食品不足密切相关。研究人员...

乌克兰安全局关闭了五个在公民中传播恐慌和错误信息的机器人农场

据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,...

私钥失窃:慧与证实 Aruba Networks 客户数据泄露事件

作为慧与(HPE)的一家网络设备制造子公司,Aruba Networks 于早些时候发生了数据泄露事件。这家企业技术巨头在一份声明中称,未经授权者利用一把私钥,访问了存储于 Aruba Central 云端的客户数据。尽管未详细说明黑客是如何获取到私钥的,但 HPE 确认它可被用于访问存储客户数据的...

FBI 警告外界小心 BEC 诈骗 五年来已盗取 430 亿美元资金

美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼...

俄对乌克兰展开新一轮恶意软件攻击

Hackernews 编译,转载请注明出处: 网络安全公司ESET 和Broadcom的Symantec表示,他们发现了一种新的数据雨刷恶意软件,用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。 这家斯洛伐克公司将这款雨刷命名为”HermeticWi...

因担心通风报信 FBI 暂缓公开 REvil 恶意软件的密钥

今年夏季 REvil 团伙发起了将近 3 周的大规模恶意软件攻击,美国联邦调查局(FBI)秘密扣留了密钥。该密钥本可以解密多达 1500 个网络上的数据和计算机,包括医院、学校和企业运营的网络。 援引华盛顿邮报报道,联邦调查局渗透了 REvil 团伙的服务器以获得该密钥。不过在和其他机构讨论之后,...

评论列表

断渊时窥
3年前 (2022-06-23)

-biosconnect-feature-and-https-boot-feature(消息及封面来源:cnBeta)

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。