多款戴尔笔记本电脑发现严重安全漏洞

安全公司思科的一份新报告警告称，超过 100 款戴尔笔记本电脑型号存在严重漏洞，其中包括 Latitude 和 Precision 系列。

这些漏洞存在于 ControlVault 中 - 这是一种旨在保护生物特征数据和密码的芯片，但却意外地成为黑客获取未经授权的访问、绕过 Windows 登录、窃取敏感数据并完全控制设备的大门。

思科将这一系列漏洞命名为ReVault，具体标识符包括CVE-2025-24311、CVE-2025-25050、CVE-2025-25215、CVE-2025-24922和CVE-2025-24919。令人担忧的是，即使用户重新安装操作系统，恶意代码仍可能存在于芯片中，导致设备始终处于被监控或秘密控制的状态。

专家警告称，这是一个严重的威胁，尤其对于经常使用受影响戴尔笔记本电脑的企业和政府用户而言。思科建议用户更新至最新固件，并在不使用指纹或智能卡读卡器的情况下禁用 ControlVault。

戴尔对于这个严重的安全漏洞有何看法？

在安全研究人员发现多款 Latitude 和 Precision 笔记本电脑使用的 ControlVault3 软件存在一系列严重漏洞后，戴尔官方向用户保证。

戴尔在给Hackread.com的声明中确认，已迅速修复了ControlVault3安全软件和驱动程序中的漏洞。该公司表示，已与相关软件供应商合作修复该漏洞，并于6月13日发布了安全更新，以降低企业用户面临的风险。

戴尔还敦促客户尽快安装最新更新，并建议使用受支持的软件版本以确保其系统安全。该公司已发布详细的安全公告 (DSA-2025-053)，列出了受影响的型号和缓解措施。

戴尔表示：“我们致力于与研究人员和行业合作伙伴协调漏洞披露，以确保及时透明地解决漏洞问题。负责任的漏洞披露是我们产品安全战略的核心。”

此外，思科安全漏洞发现部门还与人工智能平台 Hugging Face 合作，扩大其安全工作。根据协议，Hugging Face 将集成一个定制版 ClamAV 扫描程序，用于自动检查所有上传到 Hugging Face 平台的公开文件，以检测人工智能模型中的潜在恶意软件。该工具目前免费向社区开放。

戴尔和思科等科技巨头的协同行动凸显了软件漏洞在各个层面的威胁，从笔记本电脑的固件到数字供应链中复杂的人工智能模型。这凸显了一个日益清晰的信息：安全不再是可有可无的，而是一项必需品。

为了增强对日益复杂的网络攻击的防护，安全专家建议用户主动启用一些重要的防御功能。

例如，专家建议在 Windows 上启用增强登录安全 (ESS)。这是一个额外的安全层，可帮助 Windows 检测并响应固件异常，例如 ControlVault 固件发生更改或不符合安全标准时。ESS 可充当一道屏障，防止攻击者在操作系统启动之前将恶意代码注入系统。

虽然这些功能并非新鲜事物，但用户在配置设备时往往会忽略它们。随着攻击变得越来越复杂，充分利用现有的保护层是保障硬件和数据安全的重要环节。