上周，MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞，或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称，该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码，进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。 此外 Eclypsium 指出，受影响的设备数量超过了 3000 万台，并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。 至于问题的根源，其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。作为戴尔支持帮助（SupportAssistant）服务的一部分，该公司在大多数 Windows 设备上都预装了它。 然而在客户机到服务器端的连接过程中，BIOSConnect 使用了不安全的 TLS 连接。结合三个溢出漏洞，使得攻击者能够将特定的软件传送到用户设备上。 其中两个溢出型的安全漏洞会对操作系统的恢复过程产生影响，而另一个则影响固件的更新过程。但这三个漏洞都是相互独立存在的，最终都可能导致 BIOS 中的任意代码执行。 研究人员建议所有受影响的设备用户手动执行 BIOS 更新，且戴尔官方也应该主动砍掉 BIOSConnect 软件中用不到的功能。 庆幸的是，目前戴尔已经承认了相关问题，并于今日发布了修补程序。该公司在支持页面上写道： DSA-2021-106：这是一项针对戴尔客户端平台的安全更新，旨在修复 BIOSConnect 和 HTTPS 引导功能中的多个漏洞。 下载地址： https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature   （消息及封面来源：cnBeta）

戴尔固件更新驱动中发现了重大漏洞，能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险，但它仍然是一个重大问题，最近 10 年内推出的数百万台戴尔设备均受到影响。 去年 12 月，研究公司 SentinelLabs 就向戴尔报告了这个漏洞，并发布了包含所有信息的详细博客。此外，来自 Crowdstike 的 Alex Ionescu 说，“3 家独立的公司花了 2 年时间”，才将修复措施落实到位。 该研究公司指出，戴尔分配的一个CVE中存在五个缺陷，其中包括两个内存损坏问题，两个缺乏输入验证的问题，以及一个可能导致DDoS（拒绝服务）攻击的代码逻辑问题。问题存在于 “dbutil_2_3.sys “驱动程序中，该驱动程序用于戴尔和 Alienware系统的多个固件更新工具，包括用于BIOS更新。这些问题在CVE-2021-21551下被追踪。 戴尔已经针对该漏洞发布了安全公告（DSA-2021-088），并为Windows提供了更新包，可以从这里手动下载。另外，固件驱动程序也将通过各种戴尔通知系统提供，这些系统将从 5 月 10 日开始在 Windows 10 设备上提供自动更新。然而，运行 Windows 7 和 8.1 尚处于支持状态的 PC 将在 7 月 31 日才收到它们。 该公司已建议客户和企业采取一些步骤，以减轻缺陷带来的风险。这包括从电脑中删除 “dbutil_2_3.sys “驱动程序，并手动更新驱动程序，或等待自动下载带有更新驱动程序的更新工具。要删除有问题的驱动程序，该公司推荐这两个选项中的一个。 方案 1（推荐）。下载并运行戴尔安全咨询更新 – DSA-2021-088工具。 方案 2：手动删除有漏洞的dbutil_2_3.sys驱动程序。 步骤A：检查以下位置的dbutil_2_3.sys驱动文件 C:\Users\AppData\Local\Temp C:\Windows\Temp 步骤B：选择dbutil_2_3.sys文件，并按住SHIFT键，同时按DELETE键永久删除。     （消息及封面来源：cnBeta）

针对 11 月 9 号遭遇的网络攻击事件，戴尔发布公告称：“我司检测并瓦解了一场针对 Dell.com 的网络攻击，未经授权的攻击者试图窃取我司的客户信息，但仅限于姓名、电子邮件地址、以及散列（哈希）后的密码”。尽管戴尔未发现任何服务器上的客户信息被渗透的证据，但不排除有数据泄露的可能。 尽管数据失窃的可能性很小，戴尔还是建议客户重置所有密码，以防止客户信息的进一步泄露 ——“所有客户请通过多步身份验证流程，以重新获得对账户的访问权限”。 在下次访问 dell.com 并尝试登陆账户时，系统会自动提示所有戴尔用户重置密码。Premier、Global Portal 和 support.dell.com（Esupport）等在线服务亦受到影响。 最后，该公司在第三方数字取证公司的帮助下展开了调查、并与执法机构取得联系，以便了解网络安全事件的更多细节。   稿源：cnBeta，封面源自网络；

 1 月 23 日，Intel 在官网发布声明，称已经找到了 Broadwell 和 Haswell 平台在修复 Spectre 安全漏洞中出现重启问题的根本原因，新的测试版正在客户处测试。与此同时，他们叫停了老版本补丁的部署工作，也就是不要安装 BIOS 更新。 对此，戴尔（ Dell EMC ）已经火速响应，最新的知识库文档建议尚未进行 BIOS 更新的立即暂停，已经更新 BIOS 的应该尝试回退到旧版。 戴尔将问题原因归咎于 Intel 提供的固件，因为它导致了系统重启和死机。 目前，戴尔已经从官方渠道移除了所有受影响的 BIOS，会和 Intel 方面紧密合作，尽快拿出新版。 据悉，在 Spectre 漏洞的 Variant 2 攻击（ Branch Target Injection 分支目标注入，识别码 CVE-2017-5715 ）中，需要 CPU 更新微代码，也就是通过 BIOS 更新才能完全堵漏。 虽然，Intel 早就表示他们在上周末就为 90% 近五年的 CPU 产品提供了解决方案，现在看来，可能还需要一段时间补救了。 据悉，此次戴尔提及的是 EMC 企业级服务器、存储和网络设备等 “ 大件 ”，至于消费级其实同理可推，大伙儿还是静待一段时间吧。 稿源：cnBeta、快科技，封面源自网络；

据外媒 4 日报道，思科（ Talos ）安全专家发现预装软件漏洞使戴尔系统易遭代码执行攻击。黑客可利用该漏洞禁用安全机制、提权并以用户身份执行任意代码。 思科 Talos 专家表示，存在漏洞的预装软件为 Dell Precision Optimizer、InvinceaX 与 Invincea Dell Protected Workspace。目前，思科正为上述几款软件发布漏洞修复建议。相应数据包预装在戴尔系统特定版本中。 Protected Workspace 6.1.3-24058 Invincea-X 中存在的第一个漏洞 CVE-2016-9038 是 SboxDrv.sys 驱动程序中的 double fetch。黑客可以通过向设备驱动 \Device\SandboxDriverApi 发送特制数据获取开放读写权限。此外，黑客还可利用该问题在内核空间写入任意值、成功进行本地提权。第二个漏洞 CVE-2016-8732 对作为终端安全解决方案的 Invincea Dell Protected Workspace 5.1.1-22303 版本造成影响。调查显示，该漏洞存在于 5.1.1-22303 版本软件驱动组件 “ InvProtecDrv.sys ”。驱动通信信道的薄弱限制与无效验证允许黑客在受影响系统中执行的应用程序利用驱动禁用保护机制。目前，该问题已在 6.3.0 版本中得到修复。 第三个漏洞 CVE-2017-2802 关乎 Dell Precision Optimizer 应用，可导致任意代码执行，对采用 nVidia 显卡、PPO 策略处理引擎 3.5.5.0 与 ati.dll（ PPR 显示器插件）3.5.5.0 的 Dell Precision Tower 5810 造成影响。Dell PPO 服务启动期间，Dell Precision Optimizer 应用提供的程序 “ c:\Program Files\Dell\PPO\poaService.exe ” 在加载 “ c:\Program Files\Dell\PPO\ati.dll ” 后尝试加载 “ atiadlxx.dll ”，后者在默认情况下不出现在应用目录。该程序在 PATH 环境变量指定目录中搜索恰当命名的 dll 文件。如果查找到采取相同命名的 dll，无需检查该 dll 签名即可将其加载至 poaService.exe。倘若黑客提供正确名称的恶意 dll 文件，则可能导致任意代码执行。 考虑到 Invincea Dell Protected Workspace 是部署在高安全环境中用于保护工作站的常见应用，上述漏洞影响重大。Talos 建议使用受感染版本软件的组织机构尽快将软件升级至最新版本。无论如何都应在访问任何预装软件时持谨慎态度，避免漏洞被黑客利用。 原作者：Pierluigi Paganini，译者：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。