戴尔 SupportAssist 漏洞危及 3000 万台 PC-低调大师

戴尔 SupportAssist 漏洞危及 3000 万台 PC

2021-06-26 1015

近日，安全研究人员在 Dell SupportAssist 的 BIOSConnect 功能中发现了四个安全漏洞，这些漏洞允许攻击者在受影响设备的 BIOS 中远程执行代码。

根据戴尔官方网站，SupportAssist 软件预装在大多数运行 Windows 操作系统的戴尔设备上，而 BIOSConnect 则用于提供远程固件更新和操作系统恢复功能。此次发现的一系列漏洞的 CVSS 基本得分为 8.3/10，使远程攻击者能够冒充 Dell.com 并控制目标设备的启动过程以破坏操作系统级安全控制。

Eclypsium 研究人员表示，此次发现的问题影响了 129 款戴尔的消费者和商务笔记本电脑、台式机和平板电脑。据统计，大约有 3000 万台个人设备受到攻击。根据其安全报告，此次漏洞分为一个导致从 BIOS 到戴尔的 TLS 连接不安全的漏洞（CVE-2021-21571）和三个溢出漏洞（CVE-2021-21572、CVE-2021-21573 和 CVE-2021-21574）。

在溢出漏洞中，两个影响操作系统恢复过程，另一个影响固件更新过程。并且这三个漏洞彼此独立，每个漏洞能导致 BIOS 中的任意代码执行。目前，CVE-2021-21573 和 CVE-2021-21574 已于 2021 年 5 月 28 日在服务器端解决，而 CVE-2021-21571 和 CVE-2021-21572 漏洞则需要更新戴尔客户端 BIOS。

此外，研究人员还建议用户不要使用 BIOSConnect 更新他们的 BIOS，而无法立即更新系统的用户可以从 BIOS 设置页面或使用 Dell Command | 禁用 BIOSConnect，并配置 (DCC) 远程系统管理工具。

微信关注我们

原文链接：https://www.oschina.net/news/147767/dell-supportassist-bugs-influence-30-million-pc

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

WebMIS v2.0.0 正式版，高性能轻量级全栈开发基础框架

WebMIS全栈开发基础框架。前后端分离，前端采用 Vue3 + TypeScript 在Node环境下开发并封装基础UI组件和JS组件，后端采用PHP、Python、Java、Go封装数据库多连接池、Redis连接池的高性能轻量级基础框架，技术包括 PHP / Python / SpringBoot / Gin / Phalcon / Flutter / NodeJS / Vue / Socket / Redis / ResultFul API 等技术。 Web(文档)：https://webmis.vip App(H5+混合型APP)：https://demo-app.webmis.vip Api(接口工具)：https://demo-api.webmis.vip Admin(后台管理)：https://demo-admin.webmis.vip 管理员账号: admin 密码:123456 测试数据恢复: 2小时/次更新内容重构: 全采用JSON数据方式优化: 清理代码和修复部分Bug 优化: 薄雾算法自增ID 修改: Hash哈希加密算法修改: Curl请求PostJs...

2021-06-26

749

6 月 25 日，在商业公司 SphereEx 正式成立一月之余的今天，我们很高兴的宣布 Apache ShardingSphere 迎来了 5.0.0-beta 版本的正式发布。经过半年多的优化和打磨，ShardingSphere 5.0.0-beta 版本在 DistSQL、生态对接、可插拔架构等亮点功能方面有了大幅度的突破，正式从分库分表中间件向分布式数据库生态转化。欢迎大家测试使用！ 5.0.0-beta 具体版本发布信息如下：新特性全新 DistSQL 用于加载及展示 ShardingSphere 配置信息支持跨不同数据库实例的分片 Join SQL 查询增加数据网关能力，支持异构数据库存储支持在线动态创建及修改用户权限新增自动化探针模块 API 变更读写分离模块配置 API 改变为read-write-splitting ShardingProxy 用户权限配置 API 改变为Authority 使用dataSourceClassName优化 ShardingJDBC 的 dataSource 配置自动 ShardingTable 配置策略，提供标准化内置分...

2021-06-25

973

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。