戴尔 SupportAssist 漏洞危及 3000 万台 PC-低调大师

戴尔 SupportAssist 漏洞危及 3000 万台 PC

2021-06-26 1038

近日，安全研究人员在 Dell SupportAssist 的 BIOSConnect 功能中发现了四个安全漏洞，这些漏洞允许攻击者在受影响设备的 BIOS 中远程执行代码。

根据戴尔官方网站，SupportAssist 软件预装在大多数运行 Windows 操作系统的戴尔设备上，而 BIOSConnect 则用于提供远程固件更新和操作系统恢复功能。此次发现的一系列漏洞的 CVSS 基本得分为 8.3/10，使远程攻击者能够冒充 Dell.com 并控制目标设备的启动过程以破坏操作系统级安全控制。

Eclypsium 研究人员表示，此次发现的问题影响了 129 款戴尔的消费者和商务笔记本电脑、台式机和平板电脑。据统计，大约有 3000 万台个人设备受到攻击。根据其安全报告，此次漏洞分为一个导致从 BIOS 到戴尔的 TLS 连接不安全的漏洞（CVE-2021-21571）和三个溢出漏洞（CVE-2021-21572、CVE-2021-21573 和 CVE-2021-21574）。

在溢出漏洞中，两个影响操作系统恢复过程，另一个影响固件更新过程。并且这三个漏洞彼此独立，每个漏洞能导致 BIOS 中的任意代码执行。目前，CVE-2021-21573 和 CVE-2021-21574 已于 2021 年 5 月 28 日在服务器端解决，而 CVE-2021-21571 和 CVE-2021-21572 漏洞则需要更新戴尔客户端 BIOS。

此外，研究人员还建议用户不要使用 BIOSConnect 更新他们的 BIOS，而无法立即更新系统的用户可以从 BIOS 设置页面或使用 Dell Command | 禁用 BIOSConnect，并配置 (DCC) 远程系统管理工具。

微信关注我们

原文链接：https://www.oschina.net/news/147767/dell-supportassist-bugs-influence-30-million-pc

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

WebMIS v2.0.0 正式版，高性能轻量级全栈开发基础框架

WebMIS全栈开发基础框架。前后端分离，前端采用 Vue3 + TypeScript 在Node环境下开发并封装基础UI组件和JS组件，后端采用PHP、Python、Java、Go封装数据库多连接池、Redis连接池的高性能轻量级基础框架，技术包括 PHP / Python / SpringBoot / Gin / Phalcon / Flutter / NodeJS / Vue / Socket / Redis / ResultFul API 等技术。 Web(文档)：https://webmis.vip App(H5+混合型APP)：https://demo-app.webmis.vip Api(接口工具)：https://demo-api.webmis.vip Admin(后台管理)：https://demo-admin.webmis.vip 管理员账号: admin 密码:123456 测试数据恢复: 2小时/次更新内容重构: 全采用JSON数据方式优化: 清理代码和修复部分Bug 优化: 薄雾算法自增ID 修改: Hash哈希加密算法修改: Curl请求PostJs...

2021-06-26

767

6 月 25 日，在商业公司 SphereEx 正式成立一月之余的今天，我们很高兴的宣布 Apache ShardingSphere 迎来了 5.0.0-beta 版本的正式发布。经过半年多的优化和打磨，ShardingSphere 5.0.0-beta 版本在 DistSQL、生态对接、可插拔架构等亮点功能方面有了大幅度的突破，正式从分库分表中间件向分布式数据库生态转化。欢迎大家测试使用！ 5.0.0-beta 具体版本发布信息如下：新特性全新 DistSQL 用于加载及展示 ShardingSphere 配置信息支持跨不同数据库实例的分片 Join SQL 查询增加数据网关能力，支持异构数据库存储支持在线动态创建及修改用户权限新增自动化探针模块 API 变更读写分离模块配置 API 改变为read-write-splitting ShardingProxy 用户权限配置 API 改变为Authority 使用dataSourceClassName优化 ShardingJDBC 的 dataSource 配置自动 ShardingTable 配置策略，提供标准化内置分...

2021-06-25

999

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。