3,000万台のデル製PCのBIOS機能に脆弱性。更新または機能無効化を推奨

自動ニュース作成G3,000万台のデル製PCのBIOS機能に脆弱性。更新または機能無効化を推奨https://pc.watch.impress.co.jp/docs/news/1334079.html2021-06-26 20:38:19＞脆弱性の1つが、バックエンドのHTTPサーバーに接続する際に、BIOSConnectからの任意の有効なワイルドカード証明証を受け入れ、TLS接続してしまうことにある。
＞もう1つはバッファオーバーフローの脆弱性で、システムへのローカルアクセス権を持つ認証済みの管理者は、脆弱性を悪用して任意のコードを実行し、UEFIの制限を回避してしまう可能性があるとしている。
Windowsアップデートは実行しても、DELLアップデートは実行しない人が多いからなあ。うちの会社。・BMC/IPMIの類の実装かな？vProもそうだけど、どうもこの手のサポートハードウエアのセキュリティ問題がときどき話題になるな・２つ挙げられてる脆弱性の1つ目はDNSポイズニング等の攻撃が成功してDELLのサイトを攻撃サイトに誘導できてることが前提かな。もう1つはローカルアクセス権を持つ認証済みの管理者が必要。両方とも、すぐに危険な状態にはならなさそうではある。