Dell上周公告,Dell電腦內建的管理軟體SupportAssist出現高風險漏洞,使不具管理員權限的第三者,得以植入任意DLL檔執行攻擊,呼籲用戶儘速升級到最新版本。

這項編號CVE-2020-5316的漏洞,是由安全廠商CyberArk研究員Eran Shimony發現並通報Dell。它是一個不受控管的搜尋路徑(Uncontrolled Search Path)漏洞,可使擁有較低本機權限的用戶,利用SupportAssist binaries植入任意DLL檔案而升高其權限,進而執行任意程式碼。本項漏洞被列為高度風險。

SupportAssist是Dell家用及商用電腦內建的免費主動監控軟體,會自動偵測Dell 電腦與平板電腦的故障並發出通知。

Dell建議企業和一般用戶應儘速升級到最新版本,也就是Dell商用電腦中的SupportAssist for business 2.1.4版,以及家用電腦中的SupportAssist for home 3.4.1版。

由於SupportAssist的軟、硬體檢測,需要具備較高權限,因此某些元件是以管理員權限執行,而這也不是該軟體第一次爆出漏洞。去年4月6月,便有安全公司接連揭露SupportAssist含有二個可能導致遠端程式攻擊及接管電腦的漏洞。

之前也曾通報Dell的研究員Shimony說,這次 Dell從被通報到修補完成只花了3個月,已經有進步了,之前平均得等5個月。


Advertisement

更多 iThome相關內容