情資內容

Dell公司於2019/04/23發布SupportAssist軟體漏洞，目前已有概念性驗證攻擊程式，如使用相關產品，請盡速更新。 Dell SupportAssist Client軟體有兩項漏洞，且目前已有概念性驗證攻擊程式，這些漏洞會被利用來入侵系統，相關說明如下。 1.CVE-2019-3718：來源驗證不正確 3.2.0.90之前的Dell SupportAssist Client版本包含來源驗證不正確漏洞。未經身份驗證的遠端攻擊者可能會利用此漏洞嘗試對受影響系統的用戶進行CSRF（Cross-site request forgery）攻擊。 CVSSv3分數: 7.6 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H) 2.CVE-2019-3719：遠端程式碼執行漏洞 3.2.0.90之前的Dell SupportAssist Client版本包含遠端執行程式碼漏洞。當未經身份驗證的攻擊者與具此漏洞的系統共處於同一網路存取層時，可以欺騙受害用戶啟動SupportAssist客戶端從攻擊者託管站點下載和執行任意程式，入侵具此漏洞的系統。 CVSSv3分數: 7.1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H) 針對所列漏洞已有更新程式，如使用相關產品，請盡速評估及更新。 影響版本/型號: SupportAssist Client：3.2.0.90前所有版本. 防護方式： 升級至3.2.0.90或其後之版本。 建議措施： 參考資料： 影響平台：