AJ Vicens

路透8月5日 - 思科Talos公司的研究人員週二表示，用於保護數千萬臺戴爾DELL.N筆記本電腦安全的芯片中存在一個漏洞，它可能使攻擊者有能力竊取敏感數據，並在重新安裝操作系統後仍能保持訪問權限。

據戴爾公司稱，該公司在6月份的安全公告中驗證了此前未報告的分析結果，受影響的戴爾筆記本電腦型號超過100種，其攻擊目標是電腦中存儲密碼、生物識別數據和安全代碼以及安裝指紋、智能卡和近場通信驅動程序和固件的芯片。

據研究人員稱，目前沒有跡象表明這些漏洞已在野外被利用，戴爾公司已於3月、4月和5月爲這些設備發佈了補丁，並於6月13日發佈了整體安全公告。

這些漏洞與戴爾在其 ControlVault 安全固件和軟件中使用的 Broadcom AVGO.O BCM5820X 芯片有關。發現並領導此次分析的思科Talos公司高級漏洞研究員Philippe Laulheret表示，該漏洞影響了網絡安全行業和政府機構中常見的筆記本電腦型號。

"Laulheret 在週二發表的一篇博客中寫道："敏感行業在通過智能卡或 NFC) 登錄(時需要更高的安全性，在這些行業的環境中更有可能發現 ControlVault 設備。

思科塔洛斯公司（Cisco Talos）外聯主管尼克-比亞西尼（Nick Biasini）說，這些發現突出表明，需要對負責處理生物識別和其他敏感數據的計算機硬件進行更多的安全研究。

"Biasini說："這些安全飛地的概念和使用生物識別技術以及其他各種類型的技術正變得越來越普遍。"這在設備上已經變得司空見慣，但同時也帶來了新的攻擊面。"

戴爾公司發言人在一份聲明中說 ，該公司 "迅速、透明地 "解決了這些問題，並引導客戶查看 6 月 13 日的公告。"該發言人說："一如既往，客戶必須及時應用我們提供的安全更新，並改用我們產品的支持版本，以確保他們的系統安全。

博通公司拒絕發表評論。

(爲便利非英文母語者，路透將其報導自動化翻譯爲數種其他語言。由於自動化翻譯可能有誤，或未能包含所需語境，路透不保證自動化翻譯文本的準確性，僅是爲了便利讀者而提供自動化翻譯。對於因爲使用自動化翻譯功能而造成的任何損害或損失，路透不承擔任何責任。)