戴尔用户请及时升级BIOS固件 多个安全漏洞影响数百万台戴尔设备

戴尔日前发布安全公告公布CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420、CVE-2022-24421漏洞，这些漏洞CVSS评分为8.2分/10分。漏洞与固件系统管理模式SMM的不正确输入验证有关，攻击者可以利用系统管理中断SMI进行任意代码执行。

系统管理模式指的是x86微控制器中的专用CPU模式，旨在处理 系统范围的功能，例如电源管理、系统硬件控制、温度监控和其他制造商开发的专有代码。每当请求其中一项操作时，都会在Runtime中调用SMI，它会执行BIOS安装的SMM代码。

鉴于SMM代码以最高权限执行且对底层操作系统不可见，因此这些漏洞如果被利用的话可以被部署持久性的恶意代码。

值得注意的是也正是由于执行对底层操作系统不可见，所以即便黑客利用漏洞展开攻击也无法通过常规方法检测，例如在操作系统上安装安全软件理论上是检测不到漏洞利用的。

所以虽然安全公司已经发现这些漏洞但无法知晓是否有黑客利用这些漏洞，对消费者和企业来说唯一能做的就是升级BIOS固件封堵漏洞，目前戴尔已经发布新版BIOS固件修复这些漏洞。

受影响的产品线包括Dell Alienware、Dell Inspiron、Dell Vostro、Dell Edge Gateway 3000系列等，戴尔给出的安全建议就是用户立即升级BIOS。

安全公司称这些漏洞是代码库复杂或对安全性关注较少的遗留组件的支持的直接后果，即便修复也可能遗留其他未知漏洞，让攻击者有机可乘。

戴尔安全公告地址：https://www.dell.com/support/kbdoc/en-us/000197057/dsa-2022-053

戴尔用户请转到驱动程序和下载页面输入设备型号获取新版BIOS固件：https://www.dell.com/support/home/zh-cn/?app=drivers