思科 Talos 披露戴尔数百万台笔记本的博通芯片存在漏洞,可致敏感数据被盗,影响超 100 款型号。戴尔已发布补丁,相关分析将在黑帽大会展示,专家强调需加强硬件安全研究。
思科Talos研究人员周二披露,戴尔数百万台笔记本电脑采用的安全芯片存在漏洞,可能使攻击者窃取敏感数据,并在设备重装操作系统后仍维持访问权限。
漏洞细节
该研究此前未公开,经戴尔6月安全公告确认,影响超100款笔记本型号,涉及存储密码、生物识别数据及安全代码的专用芯片,该芯片同时负责安装指纹/智能卡/NFC驱动及固件。
研究人员表示尚无漏洞野外利用迹象。戴尔已于3月至5月分阶段发布补丁,并于6月13日发布完整安全公告。
漏洞专属于戴尔ControlVault安全固件与软件采用的博通BCM5820X芯片。思科Talos高级漏洞研究员Philippe Laulheret指出,受影响的Latitude与Precision等机型广泛用于网络安全行业及政府场景,“需通过智能卡或NFC强化登录安全的敏感行业更易受波及。”
应对措施与行业启示
Laulheret在周二发布的博客中透露,相关分析将于8月6日拉斯维加斯黑帽安全大会上展示。思科Talos外联负责人Nick Biasini强调,此发现凸显需加强对处理生物识别等敏感数据的硬件安全研究:“安全飞地、生物识别等技术的应用日益广泛,虽提升设备安全性,却也引入了新攻击面。”
戴尔发言人声明称已“快速透明地解决问题”,并指引用户查阅6月13日公告:“建议客户及时安装我们提供的安全更新并升级至受支持的产品版本,以确保系统安全。”
自2022年2月俄乌冲突爆发以来,俄罗斯旅客已习惯因无人机袭击导致机场临时关闭引发的航班中断。尽管俄罗斯企业和政府网站常遭零星黑客攻击,但本次事件因波及范围广且涉及旗舰航司,可能成为最具破坏性的案例。此次事件加速了卢森堡既定的国家韧性评估进程。当局正重新审视关键基础设施的稳健性(尤其是电信与应急服务的备用机制),担忧单一故障点可能引发灾难性后果。卢森堡同时探索监管改革,拟允许电信中断期间手机自动切换至其他运营商网络——该机制已在英、德、美等国应用于紧急呼叫场景。
转载请注明出处@安全威胁纵横,封面来源于网络;
消息来源:https://cybernews.com/security/dell-fixes-flaw-in-laptops/
声明:本文来自安全威胁纵横,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
