概要:严重漏洞警报:Dell Power Manager 3.17版本之前的版本存在一个高严重性的访问控制漏洞(CVE-2024-49600),允许攻击者获得提升的权限。利用风险:拥有本地访问权限的攻击者可以执行任意代码,绕过安全措施,并危及系统的机密性、完整性和可用性。软件更新:Dell已发布Power Manager 3.17版本以解决此漏洞;用户应立即更新,因为没有可用的解决方法。漏洞发现:此漏洞由CHT Security的TsungShu Chiu发现并负责任地披露。Dell近期数据泄露事件:Dell在2024年9月面临多次数据泄露,暴露了员工和项目的敏感信息,进一步强调了需要强有力的安全措施。Dell就其Power Manager软件中发现的不当访问控制漏洞发布了严重安全警报(DSA-2024-439)。这个被标识为CVE-2024-49600的漏洞可能允许攻击者在受影响的系统上执行恶意代码并获得提升的权限。该漏洞影响3.17版本之前发布的Dell Power Manager版本。需知悉的是,Dell Power Manager是一款广泛用于管理Dell系统电源设置的软件。这个应用程序延长了系统电池寿命,并提供可自定义的电池维护设置。它还提醒用户关于电源适配器、电池、底座和USB Type-C设备的不兼容性问题。该漏洞源于软件内的不当访问控制,使得拥有低权限的本地用户可以加以利用。攻击者可以绕过安全措施,执行任意代码,未经授权访问敏感的系统功能。这个漏洞的严重性被评为高,CVSS基础评分为7.8。如果被利用,它可能导致受损害系统的重大安全风险,危及它们的机密性、完整性和可用性。执行任意代码可能导致恶意软件安装、数据盗窃或系统受损,获得更高级别的系统权限将使未经授权的行为者能够执行原本受限制的操作。Dell已发布Power Manager的更新版本(3.17版)以解决该漏洞。强烈建议用户立即更新其软件以保护系统,因为目前没有可用的解决方法。“Dell Technologies强烈建议尽快应用这个重要更新。该更新包含关键的错误修复以及改进您的Dell系统功能、可靠性和稳定性的更改,”通告中写道。CHT Security的TsungShu Chiu发现了这个漏洞,并负责任地向Dell Technologies披露,Dell随后确认并感谢了Chiu的努力。Dell最近因一系列负面新闻而登上头条。Hackread.com最近报道了一系列Dell数据泄露事件,涉及敏感信息的暴露。在2024年9月19日至24日之间,一个名为“grep”的黑客三次入侵Dell(一次与黑客“Chucky”合作),窃取了与Jira文件、数据库表和模式迁移相关的机密数据,总计3.5 GB未压缩数据,10863名员工的数据,以及大约500 MB的敏感数据,包括项目文件和多重因素认证(MFA)数据。
