Dell電腦內建支援軟體含有遠端攻擊漏洞 - 3C

Dell電腦內建支援軟體含有遠端攻擊漏洞
文/陳曉莉 | 2019-05-02發表

Dell在4月下旬修補了兩個與SupportAssist軟體有關的遠端攻擊漏洞，它們分別可用來執
行跨站偽造請求（Cross-site Request Forgery，CSRF）攻擊或遠端程式攻擊，值得注意
的是，SupportAssist被預裝在基於Windows作業系統的絕大多數Dell裝置上，包括電腦與
平板電腦。

在Dell裝置上內建的SupportAssist定位為主動及預測支援軟體，它既能協助使用者下載
必要的驅動程式，也能主動檢查系統上的軟體及硬體狀態，偵測到問題時即會將狀態資訊
傳回Dell以進行故障排除，Dell也會聯繫用戶予以協助。

此次Dell修補了SupportAssist中的CVE-2019-3718及CVE-2019-3719漏洞，前者是因不適
當的原始認證所造成，未經身分認證的遠端駭客可能會利用該漏洞，展開跨站偽造請求攻
擊。

CVE-2019-3719則是屬於遠端程式攻擊漏洞，允許未經身分認證且共享網路存取層的駭客
，誘導使用者連至惡意網站以下載及執行任何程式。

發現CVE-2019-3719的資安研究人員Bill Demirkapi表示，他是在購買了15吋的Dell G3筆
電之後，因把傳統硬碟換成SDD，重新安裝了Windows，在要下載驅動程式時，才發現Dell
要求他安裝SupportAssist。他覺得可自動幫人安裝驅動程式的軟體固然方便，但也有安
全風險，決定一探究竟，才發現此一遠端程式攻擊漏洞。

Demirkapi是在去年10月提報此一漏洞，只是Dell直至今年4月才修補。Demirkapi也發表
了概念性驗證攻擊程式，展示如何讓含有漏洞的電腦執行他所指定的程式。

這兩個漏洞都被列為高度（High）風險漏洞，Dell則呼籲用戶應儘速將SupportAssist升
級至SupportAssist 3.2.0.90或之後的版本。

https://www.ithome.com.tw/news/130381

大濕:光Dell這個品牌就值1萬

--
作者 ttmb (耶? ) 看板 Gossiping
標題 [新聞] 台積電市值超越Intel 謝金河：成全球最大
時間 Tue Mar 21 13:47:22 2017
───────────────────────────────────────

--