戴尔 BIOS 升级软件出现漏洞：可远程执行代码，影响 3000 万台电脑

图片地址：https://img.ithome.com/newsuploadfiles/2021/6/e379e3c0-c39e-4589-8a5e-0611971c03e5.png

IT之家 6 月 24 日消息 根据外媒 MSPoweruser 消息，安全研究机构 Eclypsium 近日发现，戴尔的远程 BIOS 升级软件出现了一个严重漏洞，会导致攻击者劫持 BIOS 下载请求，并使用经过修改的文件进行攻击。这会使得黑客可以控制系统的启动过程，破坏操作系统。研究机构表示，戴尔电脑的这项漏洞影响了多达 129 种不同的戴尔笔记本电脑，此外还有台式机、一体机等设备，总数量超过 3000 万台。这一功能名称为 BIOS Conenct，大多数戴尔设备上都预装了这一功能，该服务使用不安全的 TLS 连接方式与戴尔服务器沟通，并存在三个漏洞，允许过接着将任何软件传送到设备上。Eclypsium 称，其中两个漏洞影响系统恢复过程，另一个漏洞影响固件更新过程。这三个是相互独立的，每一个都会导致 BIOS 中的恶意代码被执行。IT之家获悉，研究人员还建议，目前所有戴尔用户的电脑都需要更新 BIOS，但是不要使