新的戴尔BIOS错误影响了数以百万计的Inspiron、Vostro、XPS和Alienware系统

Dell BIOS中暴露了五个新的安全漏洞，如果成功利用这些漏洞，可能会导致在易受攻击的系统上执行代码，与最近在Insyde Software的Insyde20和HP统一可扩展固件接口（UEFI）中发现的固件漏洞一样。

根据CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420和CVE-2022-24421的追踪，高严重性漏洞在CVSS评分系统中的评分为8.2分（满分为10分）。

“由于受信任平台模块（TPM）测量的限制，固件完整性监控系统无法检测到对所有发现漏洞的主动攻击，”发现后三个漏洞的固件安全公司Binarly在一篇文章中说。

“由于固件运行时可见性的设计限制，远程设备健康认证解决方案将无法检测受影响的系统。”

所有缺陷都与影响固件的系统管理模式（SMM）的不当输入验证漏洞有关，有效地允许经过身份验证的本地攻击者利用系统管理中断（SMI）实现任意代码执行。

系统管理模式是指x86微控制器中的一种专用CPU模式，设计用于处理系统范围内的功能，如电源管理、系统硬件控制、热监控和其他制造商开发的专有代码。

无论何时请求这些操作之一，都会在运行时调用不可屏蔽中断（SMI），执行BIOS安装的SMM代码。鉴于SMM代码以最高权限级别执行，并且对底层操作系统不可见，因此该方法很容易被滥用，从而部署持久固件植入。

戴尔的许多产品，包括Alienware、Inspiron、Vostro line ups和Edge Gateway 3000系列，都受到了影响，总部位于德克萨斯州的个人电脑制造商建议客户“尽早”升级BIOS

Binarly的研究人员说：“这些漏洞的不断发现表明，我们所说的‘可重复的失败’是由于缺乏输入卫生设施，或者总体上是不安全的编码实践。”。

“这些故障是代码库的复杂性或对遗留组件的支持的直接后果，这些组件的安全关注度较低，但仍在现场广泛部署。在许多情况下，相同的漏洞可以在多次迭代中修复，而且攻击面的复杂性仍然为恶意攻击留下了空白。”