據(jù)v3.co.uk網(wǎng)站7月24日?qǐng)?bào)道，此前有安全研究員發(fā)現(xiàn)IBM、戴爾等品牌部分產(chǎn)品存在漏洞，該漏洞理論上可能會(huì)被黑客利用以獲取對(duì)受害用戶設(shè)備系統(tǒng)的控制權(quán)限。IBM已經(jīng)針對(duì)該漏洞發(fā)布了相關(guān)補(bǔ)丁，但是目前戴爾仍然拒絕公開(kāi)承認(rèn)其多款產(chǎn)品存在該漏洞。

KVM交換機(jī)通過(guò)直接連接鍵盤(pán)、視頻和鼠標(biāo)端口，使得用戶能夠遠(yuǎn)程管理設(shè)備，如服務(wù)器和路由器。5月，獨(dú)立安全研究員Alegandro Alvarez Bravo首次在IBM的KVM交換機(jī)中發(fā)現(xiàn)漏洞。隨后，Alvarez Bravo在Full Disclosure 論壇上發(fā)帖稱，盡管該漏洞最初是在IBM的系統(tǒng)中發(fā)現(xiàn)的，但是它也多見(jiàn)于包括戴爾在內(nèi)的其他幾家公司的產(chǎn)品中。

Bravo稱，IBM的1754 GCM系列產(chǎn)品在單個(gè)設(shè)備中提供基于IP的KVM和串行控制臺(tái)管理技術(shù)。該系列產(chǎn)品v1.20.0.22575和之前的版本都存在該漏洞。不過(guò)該漏洞也存在于戴爾和其他廠商的KVM交換機(jī)中。該漏洞可能允許通過(guò)身份驗(yàn)證的遠(yuǎn)程入侵者在GCM系列產(chǎn)品的KVM交換機(jī)上遠(yuǎn)程執(zhí)行代碼。

IBM在7月14日發(fā)布了該漏洞的補(bǔ)丁程序。Alvarez Bravo告訴記者，盡管他在兩個(gè)月前就與戴爾方面聯(lián)系，告知其客戶所面臨的危險(xiǎn)，但至今尚未得到戴爾方面的回復(fù)。

Alvarez Bravo稱，“兩個(gè)月前我就通過(guò)戴爾的安全網(wǎng)站告知他們此事，但是他們沒(méi)有作出任何回應(yīng)，也沒(méi)有表明他們已經(jīng)獲悉此事。不巧的是，我沒(méi)有那些受影響的KVM交換機(jī)的列表名單。我只知道他們有著經(jīng)過(guò)更名的相同的固件。而這些固件的原生產(chǎn)商是美國(guó)艾默生電氣(66.75, -0.33, -0.48%)公司旗下的Avocent，Avocent 是全球主要的KVM交換和連接解決方案的供應(yīng)商。”

一位來(lái)自卡巴斯基實(shí)驗(yàn)室(Kaspersky Labs)的研究人員也遇到了類似問(wèn)題，他表示同樣曾就此事聯(lián)系戴爾公司。不過(guò)截至筆者發(fā)稿前，戴爾公司依然未予置評(píng)。

戴爾和IBM僅是最近幾周內(nèi)被發(fā)現(xiàn)產(chǎn)品存在漏洞的許多公司中的兩家。美國(guó)思科系統(tǒng)公司也被迫在周五推出了適用于多種版本小型辦公路由器的安全升級(jí)補(bǔ)丁，來(lái)保護(hù)用戶免受黑客攻擊。