Сегодня 01 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Баг в прошивке Dell позволял встраивать неубиваемые вирусы и обходить вход в Windows — уязвимы сотни моделей

Dell исправила уязвимости прошивки ControlVault3, затронувшие более сотни моделей её компьютеров — они позволяли злоумышленникам обходить стандартные механизмы входа в Windows и устанавливать вредоносное ПО, продолжающее работать даже после переустановки системы.

 Источник изображения: Dell / unsplash.com

Источник изображения: Dell / unsplash.com

Эксперты подразделения кибербезопасности Cisco Talos обнаружили серию уязвимостей в Dell ControlVault — это аппаратное решение предполагает хранение паролей, биометрических данных и кодов безопасности на плате Unified Security Hub (USH). Уязвимостям присвоили общее название ReVault — они затрагивают прошивку ControlVault3, а также соответствующие API для Windows на ноутбуках Dell Latitude и Precision. Эти модели популярны в сфере кибербезопасности, в государственных учреждениях и в промышленности, где для аутентификации пользуются смарт-картами, сканерами отпечатков пальцев и NFC.

В семейство ReVault вошли уязвимости: CVE-2025-24311 и CVE-2025-25050, связанные с переполнением буфера; CVE-2025-25215 — произвольное освобождение памяти; CVE-2025-24922 — переполнение стека; CVE-2025-24919 — уязвимость при восстановлении объектов. Dell выпускала обновления безопасности для устранения уязвимостей семейства ReVault в драйверах и прошивке ControlVault3 с марта по май; компания опубликовала полный список моделей, которые затронула проблема.

Объединив эти уязвимости в цепочку, гипотетический злоумышленник мог выполнять в прошивке произвольный код и даже сохранять его так, что он продолжал бы работать после переустановки Windows. Обладая физическим доступом к компьютеру, хакер мог бы миновать стандартный механизм входа в Windows или повысить свои привилегии до администратора. Ещё одно вероятное последствие — взлом системы аутентификации по отпечаткам пальцев, после которой любой отпечаток распознавался бы как верный.

В Cisco Talos рекомендовали обновить систему стандартными средствами Windows или скачать новые версии фирменного ПО с сайта Dell; отключить неиспользуемые средства безопасности, в том числе сканеры отпечатков пальцев, считыватели смарт-карт и NFC. Предложено включить в BIOS функцию обнаружения взлома корпуса и функцию Enhanced Sign-in Security (ESS) в Windows, помогающую обнаруживать нестандартное поведение средств защиты.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
С 1 ноября клиентов гиперскейлеров вынудят покупать лицензии на VMware напрямую у Broadcom 3 ч.
Редактор видео Adobe Premier стал доступен на iOS — бесплатно 5 ч.
Грандиозный мод Fallout: London для Fallout 4 получил большое бесплатное дополнение с 30 новыми квестами и блэкджеком 5 ч.
«Недостающая подушка безопасности»: в «Google Диск» встроили ИИ-защиту от программ-вымогателей 5 ч.
OpenAI представила Sora 2 — ИИ-генератор видео с реалистичной физикой и логикой, а также возможностью встроить в ролик самого себя 5 ч.
Вторая глава, повышение максимального уровня, отключаемый интерфейс и многое другое: для Titan Quest 2 вышло первое крупное обновление 7 ч.
Соавтор Disco Elysium устроит из анонса новой игры событие мирового масштаба — Summer Eternal готовит необычную презентацию Red Rooster 8 ч.
Российский суд оштрафовал Microsoft и Telegram на 3,5 млн рублей каждую, а Apple — на 7 млн 9 ч.
Основатель и глава Spotify внезапно объявил об уходе в отставку 9 ч.
Команды разработчиков Windows воссоединились после шестилетней работы порознь 9 ч.