Комп’ютери Dell містять небезпечний баг: негайно встановіть оновлення

Семенюк Валентин
2 хв. читання

В утиліті Dell SupportAssist, що призначена для налагодження, діагностики та автоматичного оновлення драйверів, виявлена ​​небезпечна уразливість (CVE-2019-3719), що дозволяє віддалено виконати код з привілеями адміністратора на комп’ютерах і лептопах Dell.

За оцінками експертів, проблема зачіпає значну кількість пристроїв, оскільки інструмент Dell SupportAssist встановлено на всіх ПК і ноутбуках Dell, що поставляються з ОС Windows (системи, які продаються без ОС, до уразливості не схильні).

За словами дослідника з безпеки Білла Деміркапі (Bill Demirkapi), який знайшов баг, за певних обставинах CVE-2019-3719 надає можливість з легкістю перехопити контроль над уразливими пристроями. Для цього зловмисникові потрібно заманити жертву на шкідливий сайт, що містить код JavaScript, який змушує Dell SupportAssist завантажити і запустити шкідливі файли на системі. Оскільки інструмент працює з правами адміністратора, хакер отримає повний доступ до цільового пристрою.

Як пояснив дослідник, для того щоб отримати можливість віддалено виконати код, зловмисникові потрібно здійснити ARP- і DNS-спуфінг атаки на комп’ютері жертви. Деміркапі привів два можливих сценарії: перший передбачає наявність доступу до публічних Wi-Fi мереж або великих корпоративних мереж, де щонайменше один пристрій може використовуватися для ARP- і DNS-спуфінг атак, а другий передбачає компрометацію локального маршрутизатора і модифікацію DNS-трафіку безпосередньо на пристрої.

Компанія Dell вже усунула уразливість з випуском нової версії Dell SupportAssist – 3.2.0.90. , Яку власникам вразливих пристроїв Dell рекомендується встановити якомога швидше.

Деміркапі розмістив на порталі GitHub PoC-код для експлуатації уразливості, а також опублікував відео, яке демонструє атаку в дії.

Нагадаємо, про чергову хвилю фішингу Facebook-сторінок українських громадських організації заявляють фахівці Лабораторії цифрової безпеки.

Також згідно з даними Відомства з патентів і товарних знаків США, яке опублікувало новий патент Apple, у Купертіно працюють над технологією позиціонування для iPhone, що функціонує на основі датчиків газів,

Окрім цього, у викраденні 2,2 мільйона гривень благочинних коштів через доступ до банківських рахунків та злам сторінок у соціальних мережах викрили 30-річного мешканця Кіровоградщини.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

ТЕМИ:
Поділитися
Попередня стаття placeholder Хакери заявляють, що винайшли інструмент для зламу iOS 12
Наступна стаття placeholder GitHub заразили скімером, який краде дані банківських карт користувачів

В тренді

7 ігор, в які можна пограти в Google
7 ігор, в які можна пограти в Google
Що таке грумінг в Інтернеті та як від нього вберегтися?
Що таке грумінг в Інтернеті та як від нього вберегтися?
Як приховати свій номер телефону в Telegram
Як приховати свій номер телефону в Telegram
eSIM проти SIM: чи eSIM краща за фізичну SIM-карту?
eSIM проти SIM: чи eSIM краща за фізичну SIM-карту?
Чим відрізняються бізнес-ноутбуки від споживчих (і які варто купувати?)
Чим відрізняються бізнес-ноутбуки від споживчих (і які варто купувати?)

Рекомендуємо