Credit:Unsplash/CC0 Public Domain计算机安全公司Eclypsium,Inc .的工程师团队在戴尔SupportAssist内的戴尔BIOSConnect功能中发现了四个漏洞。他们报告了他们在网站上发现的漏洞,并将漏洞评级为“高”。戴尔计算机技术公司是世界上最大的个人电脑制造商之一。作为支持客户努力的一部分,该公司开始安装一个名为SupportAssist的基于BIOS的应用程序,顾名思义,该应用程序旨在允许戴尔技术人员远程协助用户。戴尔还在其销售的计算机上预装了另一个名为“基本输入输出系统连接”的基本输入输出系统应用程序,该应用程序允许公司更新其销售的计算机的基本输入输出系统。在这项新的努力中,Eclypsium的团队发现了一个安全链漏洞,该漏洞可能允许他们所说的“对手”访问用户计算机的启动过程,该过程可用于加载敌对软件。
今年3月,Eclypsium向戴尔报告了它发现的问题,戴尔立即向其客户发布了安全建议,并着手解决问题。其中两个修复程序已在服务器端机器上完成并更新,另外两个修复程序一旦完成,将被发送到戴尔的云站点。那些受到影响的客户现在可以使用这些修复程序;那些打开了戴尔自动更新的用户无需担心,因为他们的更新可能已经发生了。
该漏洞涉及129种不同的戴尔设备,从笔记本电脑到台式机和平板电脑,可能影响了全球约3000万台计算机。其中一个漏洞涉及BIOS更新和戴尔服务器之间的连接,这可能允许对手将正在更新的计算机重定向到敌对机器。其他三种脆弱性被列为溢出漏洞。
Eclypsium的工程师在他们的网站上指出,任何旨在利用该漏洞的攻击都必须涉及重定向用户计算机,这使得攻击单个用户的可能性非常小。任何此类攻击都更有可能针对大型企业,为对手带来丰厚回报。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
