上週，MSPU報導了戴爾遠程BIOS更新軟件正存在的一個漏洞，或導致多達129款不同型號的電腦遭遇中間人攻擊。Eclypsium研究人員解釋稱，該漏洞使得遠程攻擊者能夠執行多款戴爾筆記本電腦的BIOS代碼，進而控制設備的啟動過程、並打破操作系統和更高層級的安全機制。

此外Eclypsium指出，受影響的設備數量超過了3000萬台，並且涵蓋了戴爾的消費級/商務本、台式機、以及平板電腦產品線。

至於問題的根源，其實出在戴爾BIOS更新軟件—— BIOSConnect的身上。作為戴爾支持幫助（SupportAssistant）服務的一部分，該公司在大多數Windows設備上都預裝了它。

然而在客戶機到服務器端的連接過程中，BIOSConnect 使用了不安全的TLS 連接。結合三個溢出漏洞，使得攻擊者能夠將特定的軟件傳送到用戶設備上。

其中兩個溢出型的安全漏洞會對操作系統的恢復過程產生影響，而另一個則影響固件的更新過程。但這三個漏洞都是相互獨立存在的，最終都可能導致BIOS 中的任意代碼執行。

研究人員建議所有受影響的設備用戶手動執行BIOS 更新，且戴爾官方也應該主動砍掉BIOSConnect 軟件中用不到的功能。

慶幸的是，目前戴爾已經承認了相關問題，並於今日發布了修補程序。該公司在支持頁面上寫道：

DSA-2021-106：這是一項針對戴爾客戶端平台的安全更新，旨在修復BIOSConnect 和HTTPS 引導功能中的多個漏洞。

下載地址：

https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect- feature-and-https-boot-feature