网络安全警报：戴尔企业级笔电曝关键芯片漏洞 企业用户亟需紧急修补​

【导读】戴尔科技集团于8月7日发布高危安全警报（公告编号DSA-2025-053），确认其Precision移动工作站及Latitude商务笔记本产品线存在严重芯片级安全缺陷。此次漏洞源自博通BCM5820X安全协处理器的ControlVault3功能模块，该模块本用于加密存储生物特征、系统凭证等敏感数据。

漏洞技术详情

安全研究人员发现5个高危漏洞链（CVE编号2025-24311至24919），攻击者可组合利用实现：

1. 越界内存写入（CVSS 8.7）

2. 驱动级权限提升（CVSS 9.1）

3. 安全飞地远程代码执行（CVSS 8.9）戴尔安全响应中心确认，成功利用漏洞可完全绕过硬件级安全防护，直接窃取存储在加密区的企业域凭证、指纹及人脸识别模板。

影响范围升级

根据戴尔最新披露清单，新增三款受影响设备：

  ● Precision 3580移动工作站

  ● Latitude 7350 Detachable

  ● Latitude 5470商用本全球受影响设备总量预估达3200万台，其中企业用户占比超过87%。

企业响应措施

戴尔已向企业客户推送紧急更新包（版本号A12），包含：

1. 新版BIOS固件（v1.15.3）

2. 芯片驱动安全补丁（v6.12.02）

3. 内存保护增强组件企业IT管理员可通过Dell Command Update工具强制部署补丁，同时建议禁用ControlVault3的远程认证功能直至升级完成。

历史漏洞关联分析

此次事件与2023年英特尔管理引擎漏洞（CVE-2023-23583）存在相似攻击路径，均为通过硬件信任链突破系统安全边界。值得关注的是，博通芯片漏洞影响范围已从网络设备（如2020年Wi-Fi芯片事件）扩展至企业终端安全领域。

防护建议

1. 优先更新采用ControlVault3的设备

2. 启用固件写入保护（BIOS > Security > Firmware Lock）

3. 对涉密设备执行内存取证检测戴尔安全团队确认，目前尚未发现漏洞野外利用案例，但企业用户需在30日内完成修补以防供应链攻击。