官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
网络安全巨头思科(Cisco)发现,超过100款戴尔(Dell)笔记本电脑存在严重安全漏洞,全球数千万台设备面临风险。思科向Hackread.com提供的报告显示,这些漏洞可能让攻击者完全控制设备、窃取密码并访问包括指纹信息在内的敏感数据。
漏洞详情
思科Talos团队将这些漏洞命名为"ReVault",涉及名为"Dell ControlVault"的硬件组件。该硬件共发现五个漏洞,编号如下:
- CVE-2025-24311
- CVE-2025-25050
- CVE-2025-25215
- CVE-2025-24922
- CVE-2025-24919
Dell ControlVault是专为安全存储密码和生物识别数据设计的安全芯片。但漏洞可能让攻击者绕过Windows登录界面、获得设备持久访问权限,甚至篡改设备使其接受任意指纹。
受影响群体
这对政府和企业用户尤为危险,因为漏洞存在于多款商用机型中,包括政府和企业环境中常见的戴尔Latitude和Precision系列。
攻击方式
报告详述了两种主要攻击方式:
持久性攻击:攻击者可永久获取笔记本电脑访问权限。即使用户完全重装操作系统,恶意程序仍可隐藏在ControlVault芯片中,形成持续威胁。
物理攻击:接触设备者可拆机直接篡改芯片,从而绕过登录界面,甚至欺骗指纹识别器接受任意指纹。
防护建议
思科Talos建议所有受影响戴尔用户立即安装最新固件更新,若不使用指纹或智能卡读卡器功能,可考虑禁用ControlVault服务。
相关安全合作
思科另与AI模型平台Hugging Face合作,应对AI供应链中日益增长的恶意软件和漏洞风险。合作内容包括:
- 思科恶意软件扫描器ClamAV的特殊版本将自动扫描上传至Hugging Face平台的每个公开文件
- 这项针对AI模型的防恶意软件功能将免费向公众开放
这些发现凸显了思科关于安全重要性的核心理念——从笔记本电脑硬件到驱动AI的数字文件,每个环节都需安全保障。
参考来源:
Over 100 Dell Laptop Models Plagued by Vulnerabilities Impacting Millions
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)