戴尔PC用户,请注意预装软件有漏洞!

现在手机和笔记本都是在工厂预装软件和服务,有的方便实用,有的占用空间很大。但是有些电脑预装软件不是占用空间这种小事,而是存在安全漏洞!

2018年10月,纽约一名17岁的安全研究员发现了戴尔支持协助(戴尔计算机上预装的软件工具)的远程代码执行漏洞(RCE)。通过利用此漏洞,可以在同一网络环境中安装了戴尔支持协助的目标系统上实施RCE攻击。

2018.10.26向戴尔提交的初始漏洞报告

2018.10.29戴尔给出了验证漏洞的回复

2018.11.22戴尔身份验证漏洞

2018.11.29戴尔计划在2019年初提供临时修复补丁

2019.1.28戴尔通知称,漏洞发布被推迟到3月份

2019年3月13日,戴尔的修复计划被推迟,漏洞公告被推迟到4月

2019年4月18日戴尔发布了漏洞公告CVE-2019-3718

2019年4月30日,发现者披露了该漏洞

*参考d4stiny,clouds编译,

漏洞被发现已经有一段时间了,直到最近戴尔才修补它来修复此漏洞。

有问题的预装软件的名称是SupportAssistant,它由PC Doctor开发,用于主动检查系统硬件和软件运行状态,预装在大多数全新的戴尔计算机系统中。

戴尔自诩拥有“业界首款自动主动预测支持技术”,软件官方页面称:“SupportAssist将主动检查系统软硬件的运行状态。一旦检测到问题,它将向戴尔发送必要的系统状态信息,以开始故障排除。戴尔将联系您开始解决对话,以防止问题变得代价高昂。”

该漏洞的存在使得有人可能劫持该软件的更新请求。黑客可以利用这种方法让PC安装一些恶意软件,进一步破坏用户的计算机。

更严重的问题是,此漏洞不仅会影响使用支持协助工具软件的戴尔计算机,还会影响第三方:

因为它们本质上是同一个Windows软件包,只是名称不同(包括一个名为PC-Doctor Toolbox的组件)。

其他已知受影响的品牌包括海盗船、斯台普斯(一家办公用品连锁店)和眼球追踪公司托比(Tobii)。

受此漏洞影响的版本包括适用于商用电脑2.0版的戴尔支持协助、适用于家用电脑3.2.1版的戴尔支持协助以及所有旧版本。戴尔建议客户尽快更新到新版本v2.0.1或v3.2.2,或者直接卸载软件。

湖北工业大学

暂无留言,赶快评论吧

欢迎留言