安全機構Sentinel Labs對外公佈稱,從 2009 年起戴爾為部分筆記本發佈的Windows設備中含有「5 個高危漏洞」。將單個CVE分解,可以得出以下五個單獨的缺陷:
CVE-2021-21551:本地特權#1 –內存損壞
CVE-2021-21551:本地特權#2 –內存損壞
CVE-2021-21551:本地特權#3 –缺乏輸入驗證
CVE-2021-21551:本地特權#4 –缺乏輸入驗證
CVE-2021-21551:拒絕服務–代碼邏輯問題
也就是說,驅動漏洞存在於名為 DBUtil 的檔案中,被統稱為 CVE-2021-21551。其中 4 個漏洞可被用於提高權限,剩下的 1 個則存在被用於 DoS 攻擊的風險。
在收到 Sentinel 的報告後,戴爾已經通過補丁更新的方式將漏洞補上。根據他們的估計,自 2009 年後大約有380個型號的產品均受到瞭影響,如果不修復的話可能就有數億臺裝置都會繼續暴露在風險之下。
戴爾也不忘強調,目前沒有證據證明漏洞已被黑客發現並作不當利用,他們在 FAQ 中寫到“攻擊需要直接接觸到計算機,或是透過釣魚等手段騙過用戶後才能進行。除此之外,必須是安裝瞭相關驅動程序的裝置才會有潛在風險,而該驅動並非預載內容。”
請先 登入 以發表留言。