戴尔BIOS 爆多个高危漏洞,影响Inspiron 等数百万系统
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
戴尔BIOS 中存在多个高危漏洞,如遭成功利用可导致在易受攻击系统上执行代码,类似于近期存在于Insyde 软件 InsydeH2O中的固件漏洞和HP UEFI 漏洞。
这些BIOS 漏洞的编号是CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420和CVE-2022-24421。这些漏洞的CVSS评分是8.2分。
固件安全公司 Binarly 发现了后三个漏洞,它在 write-up 中指出,“鉴于可信平台模块 (TPM) 衡量的局限性,固件完整性监控系统无法检测到这些漏洞的活跃利用情况。由于固件运行时可见性的设计局限性,远程设备健康测试解决方案无法检测到受影响系统。”
所有漏洞和影响固件系统管理模式 (SMM) 的输入验证不当有关,从而导致本地验证攻击者利用系统管理中断 (SMI) 实现任意代码执行。
SMM 是指x86 微控制器中的特殊目的CPU模式,旨在处理系统功能如电源管理、系统硬件控制、热力检测和其它专有的制造商开发的代码。不管何时请求以上运营,都会在运行时调用SMI,从而执行由 BIOS 安装的SMI代码。鉴于SMM代码以最高权限级别执行且对底层操作系统不可见,因此该方法被滥用于部署永久性固件植入。
多款戴尔产品如Alienware、Inspiron、Vostro和Edge Gateway 3000 Series等受影响,因此戴尔公司建议客户“尽快”升级BIOS。研究人员指出,“这些漏洞的发现说明的正是我们所说的因缺少输入清洁或不安全的编码实践带来的‘重复失败’。造成这些失败的直接原因是代码库变得复杂或遗留组件获得较少的安全关注但仍然大规模部署。在很多情况下,同样的漏洞可能会经过多次迭代修复,但复杂的攻击面为恶意利用带来机会。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响
戴尔修复已存在12年之久的驱动漏洞,影响数百万个人电脑
戴尔 Wyse Thin 客户端设备受两个 CVSS 10分严重漏洞影响
戴尔20亿美元出售 RSA 信息安全业务
搬个板凳听17岁少年详解如何发现几乎影响所有戴尔电脑的 RCE 漏洞
原文链接
https://thehackernews.com/2022/03/new-dell-bios-bugs-affect-millions-of.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
戴尔BIOS 爆多个高危漏洞,影响Inspiron 等数百万系统相关推荐
- 数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Eclypsium 公司的研究人员发现可链接一系列漏洞在戴尔机器上实施代码执行攻击. 研究人员表示,这些漏洞的组合等同于CVSS 评分为8 ...
- Fortinet 防火墙受高危漏洞影响,可遭远程攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 最近,Fortinet 修复了 FortiWeb web 应用程序防火墙 (WAF) 中的一个高危漏洞,它可被用于执行任意命令.如被与错误 ...
- dell服务器uefi启动不了系统安装系统安装,新版戴尔bios设置UEFI引导的方法
新版新版戴尔大部分已经不支持传统引导了,因此如果有用户用传统模式安装的话容易导致安装失败.下面小编就给大家介绍下新版戴尔bios设置UEFI引导的方法. 戴尔开启UEFI模式注意事项 1.UEFI+G ...
- 戴尔7400服务器要安装系统,戴尔latitude 7400笔记本使用雨林木风u盘安装win7系统教程?...
戴尔latitude 7400笔记本使用雨林木风u盘安装win7系统教程? 戴尔latitude 7400笔记本是一款拥有着14英寸显示屏的商务型办公笔记本电脑,其采用了intel第八代酷睿i5处理器 ...
- 戴尔外星人m15r2 m15r3 m15r4 m15r5 m15r6 m15r7原厂出厂恢复系统带F12 Support Assist OS Recovery恢复功能
戴尔外星人系列原厂预装系统恢复系统镜像制作安装之后可自带隐藏分区F12 Support Assist os Rrecovery一键还原 文件地址https://pan.baidu.com/s/1uBs ...
- Dell戴尔外星人游匣G系列灵越Inspiron成就Vostro xps等笔记本电脑原厂系统 创建F12一键恢复功能SupportAssist OS Recovery
支持Dell戴尔型号(Alienware外星人系列): Alienware 13 R2.Alienware 15 R3.Alienware 15 R3 Alienware 17 R3.Alienwar ...
- 开源的 DNS 转发软件 Dnsmasq 被曝7个漏洞,可劫持数百万台设备
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 以色列安全咨询公司 JSOF 披露了 Dnsmasq 中的被统称为"DNSpooq" 的7个漏洞,可被用于针对数百 ...
- 联想曝新型UEFI漏洞,影响70款数百万台笔记本电脑
7月13日消息,联想公司生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响,即CVE-2022-1890.CVE-2022-1891 和 CVE-2022-1892,这些漏洞能让攻击 ...
- Phoenix Contact 多款工业产品被曝多个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 德国工业解决方案提供商 Phoenix Contact 上周通知客户称,公司多款产品中被曝10个漏洞. Phoenix Contact 公 ...
最新文章
- Leangoo领歌敏捷工具新增测试管理功能
- 【自然语言处理】N-最短路径法进行中文分词
- 通俗理解kaggle比赛大杀器xgboost + XGBOOST手算内容 转
- flask管理不同的路由
- 在Apache Tomcat 7设置redis作为session store
- vue制作展开收起效果
- redis深度历险 pdf_程序员面试必备精选文档:Redis+Ng+Tomcat+并发编程+Spring系列
- MongoDB复制集搭建主服务器模拟切换
- 【模拟】牛客网:顺时打印矩阵
- 信息安全原理与技术第八次实验:拒绝服务攻击与防范
- Reeder Web版
- Windows Server 2012 R2 安装补丁KB2999226提示此更新不适合用于计算机
- 【c++】CTGU2022春校赛原题详解--可以冰墩墩一墩难求啊--单调栈
- 使用php-rdkafka错误总结: version `GLIBC_2.14‘ not found; rdkafka.so: undefined symbol: zend_object_alloc
- 手机照相或选择相册,类似新浪微博的图片处理
- linux脚本基本命令大全,Shell脚本常用命令
- 计算机运行速度和科学研究,()的计算机运算速度可达到一太次以上,主要用于国家高科技领域与工程计算和尖端技术研究。...
- Response.WriteFile 无法下载大文件解决方法
- Android在CMD中输入adb命令,提示“'adb' 不是内部或外部命令,也不是可运行的程序”的解决方法
- 关于加密解密有哪些你需要知道知识?一篇文章告诉你