戴尔在其许多 Alienware、Inspiron 和 Latitude 产品中使用的 BIOS 中发现了五个新的 BIOS 安全漏洞。这些漏洞由The Hacker News整理，部分由安全公司Binarly发现，可能允许攻击者执行具有潜在破坏性的代码。

存在漏洞的型号包括 Alienware 13、15 和 17 笔记本电脑、Edge Gateway 3000 和 5000 服务器、Inspiron 笔记本电脑和一体机、Vostro 笔记本电脑和台式机、Embedded Box PC 3000 和 5000、Wyse 7040 瘦客户端和 XPS 8930台式机。完整列表可从戴尔支持网站获得，以及固件更新链接。

这些漏洞都利用了 x86 微控制器的系统管理模式，该模式通常负责诸如电源管理和温度之类的事情。它的代码通常是专有的和制造商开发的，以最高特权级别运行，并且如果安装了操作系统和 TPM 芯片，它们都是不可见的。这使得利用它变得成熟，并可用于部署基于固件的 rootkit。然而，值得注意的是，恶意用户必须在本地进行身份验证才能开始攻击，这意味着需要对 PC 进行物理访问。

正如Binarly 解释的那样，BIOS是一个复杂的东西，而且很难关闭所有可能用于攻击的漏洞：“这些故障是代码库复杂性或对安全性较低的遗留组件的支持的直接后果在许多情况下，同一个漏洞可以通过多次迭代修复，但攻击面的复杂性仍然为恶意利用留下了空白。

“大多数可用于源代码分析的企业工具都不适合查明特定于固件的安全缺陷，”Binarly 继续说道。“有多种原因，最明显的原因之一是内存管理功能的实现与非固件特定软件相比存在差异。当在源代码级别没有检测到漏洞时，这会导致错误的安全感。”

戴尔建议立即为受影响的计算机下载 BIOS 更新。Binarly 称赞戴尔对这种情况的快速反应，写道：“从问题报告到补丁发布大约需要三个月的时间，而与其他供应商的通常时间表接近六个月。”