聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些BIOS 漏洞的编号是CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420和CVE-2022-24421。这些漏洞的CVSS评分是8.2分。
固件安全公司 Binarly 发现了后三个漏洞,它在 write-up 中指出,“鉴于可信平台模块 (TPM) 衡量的局限性,固件完整性监控系统无法检测到这些漏洞的活跃利用情况。由于固件运行时可见性的设计局限性,远程设备健康测试解决方案无法检测到受影响系统。”
所有漏洞和影响固件系统管理模式 (SMM) 的输入验证不当有关,从而导致本地验证攻击者利用系统管理中断 (SMI) 实现任意代码执行。
SMM 是指x86 微控制器中的特殊目的CPU模式,旨在处理系统功能如电源管理、系统硬件控制、热力检测和其它专有的制造商开发的代码。不管何时请求以上运营,都会在运行时调用SMI,从而执行由 BIOS 安装的SMI代码。鉴于SMM代码以最高权限级别执行且对底层操作系统不可见,因此该方法被滥用于部署永久性固件植入。
多款戴尔产品如Alienware、Inspiron、Vostro和Edge Gateway 3000 Series等受影响,因此戴尔公司建议客户“尽快”升级BIOS。研究人员指出,“这些漏洞的发现说明的正是我们所说的因缺少输入清洁或不安全的编码实践带来的‘重复失败’。造成这些失败的直接原因是代码库变得复杂或遗留组件获得较少的安全关注但仍然大规模部署。在很多情况下,同样的漏洞可能会经过多次迭代修复,但复杂的攻击面为恶意利用带来机会。”
原文始发于微信公众号(代码卫士):戴尔BIOS 爆多个高危漏洞,影响Inspiron 等数百万系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论