戴尔 SupportAssist 漏洞危及 3000 万台 PC-低调大师

戴尔 SupportAssist 漏洞危及 3000 万台 PC

2021-06-26 1057

近日，安全研究人员在 Dell SupportAssist 的 BIOSConnect 功能中发现了四个安全漏洞，这些漏洞允许攻击者在受影响设备的 BIOS 中远程执行代码。

根据戴尔官方网站，SupportAssist 软件预装在大多数运行 Windows 操作系统的戴尔设备上，而 BIOSConnect 则用于提供远程固件更新和操作系统恢复功能。此次发现的一系列漏洞的 CVSS 基本得分为 8.3/10，使远程攻击者能够冒充 Dell.com 并控制目标设备的启动过程以破坏操作系统级安全控制。

Eclypsium 研究人员表示，此次发现的问题影响了 129 款戴尔的消费者和商务笔记本电脑、台式机和平板电脑。据统计，大约有 3000 万台个人设备受到攻击。根据其安全报告，此次漏洞分为一个导致从 BIOS 到戴尔的 TLS 连接不安全的漏洞（CVE-2021-21571）和三个溢出漏洞（CVE-2021-21572、CVE-2021-21573 和 CVE-2021-21574）。

在溢出漏洞中，两个影响操作系统恢复过程，另一个影响固件更新过程。并且这三个漏洞彼此独立，每个漏洞能导致 BIOS 中的任意代码执行。目前，CVE-2021-21573 和 CVE-2021-21574 已于 2021 年 5 月 28 日在服务器端解决，而 CVE-2021-21571 和 CVE-2021-21572 漏洞则需要更新戴尔客户端 BIOS。

此外，研究人员还建议用户不要使用 BIOSConnect 更新他们的 BIOS，而无法立即更新系统的用户可以从 BIOS 设置页面或使用 Dell Command | 禁用 BIOSConnect，并配置 (DCC) 远程系统管理工具。

微信关注我们

原文链接：https://www.oschina.net/news/147767/dell-supportassist-bugs-influence-30-million-pc

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

WebMIS v2.0.0 正式版，高性能轻量级全栈开发基础框架

WebMIS全栈开发基础框架。前后端分离，前端采用 Vue3 + TypeScript 在Node环境下开发并封装基础UI组件和JS组件，后端采用PHP、Python、Java、Go封装数据库多连接池、Redis连接池的高性能轻量级基础框架，技术包括 PHP / Python / SpringBoot / Gin / Phalcon / Flutter / NodeJS / Vue / Socket / Redis / ResultFul API 等技术。 Web(文档)：https://webmis.vip App(H5+混合型APP)：https://demo-app.webmis.vip Api(接口工具)：https://demo-api.webmis.vip Admin(后台管理)：https://demo-admin.webmis.vip 管理员账号: admin 密码:123456 测试数据恢复: 2小时/次更新内容重构: 全采用JSON数据方式优化: 清理代码和修复部分Bug 优化: 薄雾算法自增ID 修改: Hash哈希加密算法修改: Curl请求PostJs...

2021-06-26

795

6 月 25 日，在商业公司 SphereEx 正式成立一月之余的今天，我们很高兴的宣布 Apache ShardingSphere 迎来了 5.0.0-beta 版本的正式发布。经过半年多的优化和打磨，ShardingSphere 5.0.0-beta 版本在 DistSQL、生态对接、可插拔架构等亮点功能方面有了大幅度的突破，正式从分库分表中间件向分布式数据库生态转化。欢迎大家测试使用！ 5.0.0-beta 具体版本发布信息如下：新特性全新 DistSQL 用于加载及展示 ShardingSphere 配置信息支持跨不同数据库实例的分片 Join SQL 查询增加数据网关能力，支持异构数据库存储支持在线动态创建及修改用户权限新增自动化探针模块 API 变更读写分离模块配置 API 改变为read-write-splitting ShardingProxy 用户权限配置 API 改变为Authority 使用dataSourceClassName优化 ShardingJDBC 的 dataSource 配置自动 ShardingTable 配置策略，提供标准化内置分...

2021-06-25

1029

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。