Уязвимoсть в прeдустaнoвлeннoй утилитe стaвит пoд угрoзу взлoмa кoмпьютeрoв Dell.
Утилитa Dell SupportAssist, кoтoрoe нужнo угоду кому) oтлaдки, диaгнoстики и aвтoмaтичeскoгo oбнoвлeния дрaйвeрoв, былa oбнaружeнa уязвимoсть (CVE-2019-3719), которая позволяет удаленно ма код с правами администратора в компьютерах и ноутбуках Dell. До мнению экспертов, проблема затрагивает значительное численность устройств, поскольку инструмент Dell SupportAssist фиксировано на всех ПК и ноутбуках Dell, поставляемых с ОПЕРАЦИОННОЙ системой Windows (общественный порядок, которые продаются без ОПЕРАЦИОННОЙ системы, уязвимости приставки не- являются), сообщает Cronaca.info со ссылкой получи internetua.com.
По словам исследователя безопасности Билл Объединенные (Билл Demirkapi), обнаружена неосторожность, в определенных обстоятельствах, CVE-2019-3719 предоставляет оказия с легкостью взять под осмотр уязвимые устройства. Для сего будет необходимо заманить жертву сверху вредоносный сайт, содержащий шифр javascript, который делает Dell SupportAssist считать и запустить вредоносные файлы в системе. Потому как инструмент работает с правами администратора, враг будет иметь полный вход к целевому устройству.
Как пояснил ледоисследователь, чтобы получить возможность удаленно создать код, злоумышленнику осуществить ARP-и DNS-spoofing атаки держи компьютер жертвы. Объединенные привел двум возможных сценария: первый предполагает реальность доступа к публичному Wi-Fi сетей другими словами крупных корпоративных сетей, идеже по крайней мере Водан прибор может быть использован ради ARP и DNS-spoofing атак, в то промежуток времени как второй предполагает компромиссное решение локального маршрутизатора и изменить DNS-затор непосредственно на устройстве.
Dell уж устранили уязвимость, с выходом новой версии Dell SupportAssist — 3.2.0.90. что такое? владельцы устройств уязвимы Dell рекомендуется определить как можно скорее.
Читайте в свой черед: Продажи Apple Watch выросла получай 50%
Объединенные опубликован на GitHub PoC-стих для эксплуатации уязвимостей, а и опубликовал видео, которое демонстрирует атаку в действии.