デルのBIOSの更新：コンピュータをハッキングする4つの脆弱性

2021 年 6 月 29 日マット・ミルズお知らせ 0

完璧なソフトウェアというものはありません。すべてが影響を受けやすい ハッキングされている 脆弱性が発見されたある時点で、購入するデバイスに適切な更新ポリシーがあることが非常に重要です。さて、デルはちょうどリリースしました 緊急アップデート for そのコンピューターの129 深刻な脆弱性のため。

この脆弱性はDellコンピュータのBIOSに存在するため、オペレーティングシステムを介した更新だけでは不十分です。 BIOSを更新する コンピュータが脆弱でなくなるようにします。

デルのBIOS、完全に脆弱

BIOSは、コンピューターの周波数などのパラメーターの調整など、コンピューター自体からもアクセスできない調整を行うことができるため、コンピューターの最も機密性の高い要素のXNUMXつです。 RAM メモリ、仮想化のアクティブ化、および非常に長いなど。悪意のある人の手に渡ると、攻撃者は値を変更してコンピュータを破壊する可能性があります。

ただし、サイバーセキュリティの研究者によって発見された脆弱性のため、これは最悪の危険ではありません。 エクリプシウム 、攻撃者が任意のコードを実行して、あらゆる種類のマルウェアを導入したり、コンピュータからあらゆる種類のデータを盗んだりできるようにします。したがって、攻撃者はコンピュータを破壊したり、情報を盗んだりする可能性があります。

欠陥はにあります BIOS接続 と HTTPSブート機能 、さまざまなBIOS設定をWebインターフェイスを介して制御できるようにします。

BIOSConnectでは、バッファオーバーフローを実行できます。デバイスに物理的にアクセスできる攻撃者は、管理者権限でこの脆弱性を悪用し、UEFI制限を回避して任意のコードを実行する可能性があります。これにより、起動する前にオペレーティングシステムの整合性をチェックするセーフブートなどのBIOS保護をバイパスできます。

の場合には HTTPSブート 、この脆弱性は証明書の検証に影響を及ぼし、攻撃者はMitM攻撃を実行して証明書を悪用し、すべてのトラフィックを取得する可能性があります。

デルは、影響を受けるすべてのモデルのBIOSアップデートをリリースしましたが、アップデートは危険にさらされる可能性があり、問題を解決できないため、Webツールを介さずにローカルで行うことをお勧めします。

合計でXNUMXつの脆弱性があり、XNUMXつは重大度が高く、XNUMXつは重大度が中程度です。脆弱性 CVE-2021-21573 と CVE-2021-21574 サーバーの更新により修正されました 2021 年 5 月 28 日 追加の顧客アクションは必要ありません。ただし、脆弱性 CVE-2021-21571 と CVE-2021-21572 BIOSを更新する必要があります。