根據 SentinelLabs 安全研究員的發現,自 2009 年起,Dell 為顧客帶來的韌體更新驅動程式,其中埋有 5 項嚴重的漏洞。全球數億台 PC 可能受到影響。研究員去年底向 Dell 通報後,公司也已經推出安全性更新,以解決這項長久以來存在的問題。
(圖片來源:點子科技拍攝)
研究人員 Kasif Dekel 表示,這 5 項漏洞被埋於名為「dbutil_2_3.sys」文件中,在公共漏洞資料庫中代號為「CVE-2021-21551」。其中有 4 項漏洞會導致本機特權提升(Local Elevation Of Privileges),剩下一項會阻斷服務(Denial Of Service,DoS)。
雖然 5 項缺陷需要取得本機特權,但研究人員認為,駭客可能利用其他技術,進行網路釣魚或者其他攻擊方式。
根據 Dell 提供的資訊,旗下桌機甚至最新的 Dell、Alienware 筆電都在影響範圍內,牽涉型號達 380 款。
而儘管 Dell 驅動程式上的漏洞存在 12 年之久,所幸研究人員並未發現有被有心人士大量濫用的跡象。
目前 Dell 已經為顧客推出對應的解決辦法。如果你手邊使用的是 Dell 產品,最好現就按照官方指南(連結)解決問題。
