多款戴尔笔记本电脑发现严重安全漏洞

安全公司思科的一份新报告警告称，超过 100 款戴尔笔记本电脑型号存在严重漏洞，其中包括 Latitude 和 Precision 系列。

这些漏洞存在于 ControlVault 中——这是一种旨在保护生物特征数据和密码的芯片，但却无意中成为黑客获取未经授权的访问、绕过 Windows 登录、窃取敏感数据并完全控制设备的大门。

思科将这一系列漏洞命名为ReVault，具体标识符包括CVE-2025-24311；CVE-2025-25050；CVE-2025-25215；CVE-2025-24922和CVE-2025-24919。令人担忧的是，即使用户重新安装操作系统，恶意代码仍可能存在于芯片中，导致设备始终处于被监控或秘密控制的状态。

专家警告称，这是一个严重的威胁，尤其对经常使用受影响戴尔笔记本电脑的企业和政府用户而言。思科建议用户更新至最新固件，并在不使用指纹或智能卡读卡器的情况下禁用 ControlVault。

戴尔对于这个严重的安全漏洞有何看法？

在安全研究人员发现多款 Latitude 和 Precision 笔记本电脑使用的 ControlVault3 软件存在一系列严重漏洞后，戴尔官方发声，向用户保证。

戴尔在给Hackread.com的声明中确认，已修复其驱动程序和ControlVault3安全软件中的漏洞。该公司表示，已与相关软件供应商合作修复该漏洞，并于6月13日发布了安全更新，以降低企业用户面临的风险。

戴尔还敦促客户尽快安装最新更新，并建议使用受支持的软件版本，以确保系统始终安全。该公司已发布详细的安全公告 (DSA-2025-053)，列出了受影响的型号和解决方法。

戴尔表示：“我们致力于与研究人员和行业合作伙伴协调漏洞披露，以确保及时透明地解决漏洞问题。负责任的漏洞披露是我们产品安全战略的核心。”

此外，思科安全漏洞发现部门还与人工智能平台 Hugging Face 合作，拓展其安全工作。根据协议，双方将集成定制版 ClamAV 扫描程序，自动检查所有上传到 Hugging Face 平台的公开文件，以检测人工智能模型中的潜在恶意软件。该工具目前免费向社区开放。

戴尔和思科等科技巨头的协调行动凸显了从笔记本电脑固件到数字供应链中复杂的人工智能模型等各个层面的软件漏洞威胁，并强调了一个越来越明确的信息：安全不再是可选项，而是一项要求。

为了增强对日益复杂的网络攻击的防护，安全专家建议用户主动启用几项重要的防御功能。

例如，专家建议在 Windows 上启用增强登录安全 (ESS)。这是一个额外的安全层，可帮助 Windows 检测并响应固件异常，例如固件 ControlVault 被更改或不符合安全标准。ESS 可充当一道屏障，防止攻击者在操作系统启动之前将恶意代码注入系统。

这些功能虽然并非新功能，但在设备配置过程中却常常被用户忽视。随着攻击变得越来越复杂，充分利用现有的保护层是保障硬件和数据安全的重要环节。