上周,MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞,或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称,该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码,进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。
此外 Eclypsium 指出,受影响的设备数量超过了 3000 万台,并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。
至于问题的根源,其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。作为戴尔支持帮助(SupportAssistant)服务的一部分,该公司在大多数 Windows 设备上都预装了它。
然而在客户机到服务器端的连接过程中,BIOSConnect 使用了不安全的 TLS 连接。结合三个溢出漏洞,使得攻击者能够将特定的软件传送到用户设备上。
其中两个溢出型的安全漏洞会对操作系统的恢复过程产生影响,而另一个则影响固件的更新过程。但这三个漏洞都是相互独立存在的,最终都可能导致 BIOS 中的任意代码执行。
研究人员建议所有受影响的设备用户手动执行 BIOS 更新,且戴尔官方也应该主动砍掉 BIOSConnect 软件中用不到的功能。
庆幸的是,目前戴尔已经承认了相关问题,并于今日发布了修补程序。该公司在支持页面上写道:
DSA-2021-106:这是一项针对戴尔客户端平台的安全更新,旨在修复 BIOSConnect 和 HTTPS 引导功能中的多个漏洞。
下载地址:
https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature
(消息及封面来源:cnBeta)
据知情人士透露,苹果和Meta在2021年年中回应了伪造的“紧急数据请求”,向黑客提供了用户的基本信息,如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的,并且经过精心设计,带有真实或虚构执法人员的伪造签名,看起来合法。 据彭博社报道,一个名...
Project Zero 是由 Google 专家和分析师组成的内部团队,负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二,该团队发布公告称,在 2021 年共发现了 58 个已被黑客利用的漏洞,刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷,因此,他们有“零天”时间来修复...
作为慧与(HPE)的一家网络设备制造子公司,Aruba Networks 于早些时候发生了数据泄露事件。这家企业技术巨头在一份声明中称,未经授权者利用一把私钥,访问了存储于 Aruba Central 云端的客户数据。尽管未详细说明黑客是如何获取到私钥的,但 HPE 确认它可被用于访问存储客户数据的...
Hackernews 编译,转载请注明出处: 网络攻击的数量和复杂程度日益增加,自然而然地促使许多公司使用更多的网络安全技术。我们知道加强威胁检测能力对于保护是必要的,但是他们也导致了几个意外后果。“越多并不总是越好”的格言非常适合这种情况。 网络安全公司 Cynet 即将举行的一...
4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。 据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采...
据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。 该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。 目前还不清楚谁是这次网络事件...