发布时间:2025-08-7 阅读量:1032 来源: 我爱方案网 作者: wenwei
【导读】戴尔科技集团于8月7日发布高危安全警报(公告编号DSA-2025-053),确认其Precision移动工作站及Latitude商务笔记本产品线存在严重芯片级安全缺陷。此次漏洞源自博通BCM5820X安全协处理器的ControlVault3功能模块,该模块本用于加密存储生物特征、系统凭证等敏感数据。
漏洞技术详情
安全研究人员发现5个高危漏洞链(CVE编号2025-24311至24919),攻击者可组合利用实现:
1. 越界内存写入(CVSS 8.7)
2. 驱动级权限提升(CVSS 9.1)
3. 安全飞地远程代码执行(CVSS 8.9)戴尔安全响应中心确认,成功利用漏洞可完全绕过硬件级安全防护,直接窃取存储在加密区的企业域凭证、指纹及人脸识别模板。
影响范围升级
根据戴尔最新披露清单,新增三款受影响设备:
● Precision 3580移动工作站
● Latitude 7350 Detachable
● Latitude 5470商用本全球受影响设备总量预估达3200万台,其中企业用户占比超过87%。
企业响应措施
戴尔已向企业客户推送紧急更新包(版本号A12),包含:
1. 新版BIOS固件(v1.15.3)
2. 芯片驱动安全补丁(v6.12.02)
3. 内存保护增强组件企业IT管理员可通过Dell Command Update工具强制部署补丁,同时建议禁用ControlVault3的远程认证功能直至升级完成。
历史漏洞关联分析
此次事件与2023年英特尔管理引擎漏洞(CVE-2023-23583)存在相似攻击路径,均为通过硬件信任链突破系统安全边界。值得关注的是,博通芯片漏洞影响范围已从网络设备(如2020年Wi-Fi芯片事件)扩展至企业终端安全领域。
防护建议
1. 优先更新采用ControlVault3的设备
2. 启用固件写入保护(BIOS > Security > Firmware Lock)
3. 对涉密设备执行内存取证检测戴尔安全团队确认,目前尚未发现漏洞野外利用案例,但企业用户需在30日内完成修补以防供应链攻击。
4月2日,兆易创新宣布正式发布新一代SPI NAND Flash产品GD5F4GM7/GD5F8GM8。
标普全球Visible Alpha研究主管Melissa Otto指出,当前推动股市创纪录上涨的人工智能巨额投资正面临显著挑战,主要由于中东危机对全球经济增长前景与能源成本带来不确定性影响。
南加州大学团队研发新型存储芯片,可在 700°C 高温下稳定运行,且未出现性能退化迹象。
联发科和高通已开始下修于晶圆代工厂的4nm投片量,显示手机链景气明显降温
EM8695 RedCap模块基于Qualcomm SDX35基频处理器,为无需传统5G全速率或复杂功能的应用提供精简型5G解决方案
