„Dell“ yra vienas didžiausių kompiuterių pardavėjų pasaulyje, o jo nešiojamieji kompiuteriai siekia milijonus. Tai reiškia, kad taip pat yra milijonai potencialių aukų, pribrendusių atrinkti, jei įsilaužėliai gautų saugumo išnaudojimą, kuris paveiks beveik visas jas. Ši galimybė pagaliau galėjo atsirasti, kai „Dell“ programinė įranga, atsakinga už vartotojų saugumą Kompiuterio paleidimo momentas yra pats pažeistas, atveriant duris įsilaužėliams, kad jie galėtų patekti nebūdami aptikta.
Šios naujausios pažeidžiamumo ataskaitos esmė yra „Dell“ BIOSConnect, „SupportAssist“ programinės įrangos dalis, kuri iš anksto įdiegta beveik visuose „Dell“ kompiuteriuose, kuriuose veikia „Windows“. Pati BIOSConnect turi tik vieną užduotį – teikti nuotolinius programinės įrangos atnaujinimus ir OS atkūrimo funkcijas. Atsižvelgiant į tai, kaip kompiuteriai paleidžiami BIOS lygiu, norint valdyti šį įkrovos proceso etapą, ilgainiui galima valdyti visą sistemą.
Būtent apie tai praneša „Bleeping Computer“, kai įsilaužėlis gali perimti BIOSConnect ryšį ir suaktyvinti perpildymo išnaudojimus. Taip gali nutikti, kai vartotojai bando naudoti nuotolinį OS atkūrimą arba bandydami atnaujinti „Dell“ kompiuterio programinę-aparatinę įrangą. Pažeista BIOS arba UEFI programinė įranga gali būti apgaubta kaip teisėta programinė įranga „Dell“ ir „Windows“ saugos sistemoms.
Saugumo tyrinėtojai iš Eclypsium, kurie pranešė apie pažeidžiamumą, rekomenduoja „Dell“ vartotojams visiškai nenaudoti BIOSConnect. Yra keli būdai atnaujinti kompiuterio BIOS arba UEFI programinę-aparatinę įrangą, o paslaugų programa siūlo tik patogumus, kurie gali būti neverti saugumo rizikos. „Dell“ savo svetainėje išleidžia BIOS / UEFI naujinimus paveiktiems modeliams.
„Bleeping“ kompiuterio užrašai kad tai ne pirmas kartas, kai atskleidžiama, kad „Dell“ SupportAssist dalis turi esminių saugos trūkumų. Pranešama, kad iš anksto įdiegtoje „Dell“ programinėje įrangoje yra vienokių ar kitokių pažeidžiamumų, tačiau tokia situacija, deja, dažnai pasitaiko daugelyje OĮG paslaugų, net skirtų apsaugoti vartotojus.