文章图片
数码爱好者朋友都知道 , 微软最新的操作系统Windows11对硬件的要求非常高 , 其中最引人关注、引发强烈争议的就是要求机器必须支持TPM2.0 , 此举直接将一些还不算太老的机器拒之门外 , 很多朋友对此耿耿于怀 。
但是平心而论 , 这个事情不应该一边倒地指责微软 , 因为现在即使是TPM2.0技术自身 , 也不能说已经彻底成熟完美 , 仍然存在一些安全问题和隐患 , 搭载TPM2.0芯片的机器也照样可能存在漏洞 , 遭受攻击 。
近期 , 戴尔在其多款外星人(Alienware)、灵越(Inspiron)和纬度(Latitude)系列电脑产品的BIOS中发现了5个新安全漏洞(部分是由第三方安全公司Binarly提交的) , 这些漏洞可被攻击者利用 , 执行具有潜在破坏性的代码 。
这5个安全漏洞分别被标记为:CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420和CVE-2022-24421 , 在CVSS评级中 , 最高的严重级别被判为8.2级 , 由此可见 , 这些安全漏洞是非常严重的 。
文章图片
【数码爱好者朋友都知道|戴尔tpm2.0系统安全漏洞曝光】本截图来自戴尔官网
上述漏洞主要利用了X86微控制器的系统管理模式(SMM) , 该模式负责诸如电源管理、系统硬件控制、和温度调控 , 其代码通常是由制造商所开发定制的 , 享有最高级别的运行权限 , 在配备TPM芯片的机器上安装操作系统后 , 这些代码和任务对普通用户是不可见的 。
每当执行这些请求操作时 , 都会调用不可屏蔽的中断(SMI) , 执行厂商在BIOS中所安装部署的SMM代码 。 如果这部分代码存在漏洞被攻击利用 , 比如植入基于固件的rootkit恶意代码 , 隐蔽度极高 , 普通的安全措施和安全软件根本无法应对处理 。
不过 , 想要通过这种方式实施攻击 , 攻击者必须首先在本地进行身份验证 , 对电脑进行物理访问 , 难度要比通过网络进行远程攻击大得多 , 因此 , 实际受到攻击危害用户的数量可能相对有限 , 但是仍然不容忽视 。
相对于修复Windows系统的漏洞来说 , 修复BIOS的漏洞则要困难得多 , 因为BIOS提供的都是底层功能和接口 , 是供其它硬件、操作系统和应用软件调用的 , 牵一发而动全身 , 对它进行任何修改都会直接影响到其它方面 。
另
外 , 由于具体的软硬件平台众多 , BIOS还必须要保持非常高的兼容性 , 要兼容一些旧有的标准和技术 。 只有这样才能保障一些比较老的硬件和软件能正常运行 , 如果发现漏洞就彻底关闭相应部分的代码 , 这是不可行的 , 所以“修复”BIOS只能采取保守策略 。
文章图片
这就是为什么BIOS漏洞往往很难在短期内彻底、完美地修复 , 同一个漏洞可能需要进行多次修复的原因 。
目前已知存在漏洞的具体型号包括:Alienware13、Alienware15和Alienware17笔记本电脑 , EdgeGateway3000和5000服务器、Inspiron笔记本电脑和一体机、Vostro笔记本电脑和台式机、EmbeddedBoxPC3000和5000、Wyse7040瘦客户端和XPS8930台式机 , 完全机型列表请阅读戴尔官网的说明 。
好消息是戴尔方面目前已经发布了修复这些漏洞的新版BIOS , 建议上述机型的用户立即下载更新 。
综上所述 , “安全”问题是绝对不容忽视的 , 尤其是对于广大的商业用户和办公用户来说 , 这类用户的电脑里往往存储着非常重要、敏感的商业数据 , 其价值要远高于电脑和硬件本身的价值 , 出于安全考虑 , 按要求升级包括TPM2.0在内的硬件 , 是非常有必要的 。
- 对于广大的资深数码玩家朋友来说|不管是什么类型的新硬件,steamdeck也同样严重翻车了
- 三星GalaxyS22数码广大爱好者朋友都知道这两年高通骁龙旗舰处理器的表现普遍欠佳|为什么三星的手机销量总是下滑?
- 数码爱好者朋友都知道|13代酷睿和ddr4内存的对比,到底谁更胜一筹?
- 关心固态硬盘的数码爱好者朋友都知道|pcie5.0接口固态硬盘的“散热”问题
- 数码手机圈|多亲2pro,小爱同学的最佳选择
- 科技数码圈的发展|十几年前的国产mp3手机f527,你还记得吗?
- iPhone|8月数码产品盘点:多款折叠屏在路上,OPPO Pad Air「紫霞」上线
- 七夕节送什么?这四款数码产品从249到2999元,总有一款适合她
- App|朋友在抖音30天赚了20万!我也能么?
- 数码|“数码痴呆症”其实就在我们身边