據(jù)v3.co.uk網(wǎng)站7月24日?qǐng)?bào)道，此前有安全研究員發(fā)現(xiàn)IBM、戴爾等品牌部分産品存在漏洞，該漏洞理論上可能會(huì)被駭客利用以獲取對(duì)受害用戶設(shè)備系統(tǒng)的控制許可權(quán)。IBM已經(jīng)針對(duì)該漏洞發(fā)佈了相關(guān)補(bǔ)丁，但是目前戴爾仍然拒絕公開(kāi)承認(rèn)其多款産品存在該漏洞。

　　資料圖

　　KVM交換機(jī)通過(guò)直接連接鍵盤(pán)、視頻和滑鼠端口，使得用戶能夠遠(yuǎn)端管理設(shè)備，如伺服器和路由器。5月，獨(dú)立安全研究員Alegandro Alvarez Bravo首次在IBM的KVM交換機(jī)中發(fā)現(xiàn)漏洞。隨後，Alvarez Bravo在Full Disclosure 論壇上發(fā)帖稱，儘管該漏洞最初是在IBM的系統(tǒng)中發(fā)現(xiàn)的，但是它也多見(jiàn)於包括戴爾在內(nèi)的其他幾家公司的産品中。

　　Bravo稱，IBM的1754 GCM系列産品在單個(gè)設(shè)備中提供基於IP的KVM和串列控制臺(tái)管理技術(shù)。該系列産品v1.20.0.22575和之前的版本都存在該漏洞。不過(guò)該漏洞也存在於戴爾和其他廠商的KVM交換機(jī)中。該漏洞可能允許通過(guò)身份驗(yàn)證的遠(yuǎn)端入侵者在GCM系列産品的KVM交換機(jī)上遠(yuǎn)端執(zhí)行代碼。

　　IBM在7月14日發(fā)佈了該漏洞的補(bǔ)丁程式。Alvarez Bravo告訴記者，儘管他在兩個(gè)月前就與戴爾方面聯(lián)繫，告知其客戶所面臨的危險(xiǎn)，但至今尚未得到戴爾方面的回復(fù)。

　　Alvarez Bravo稱，“兩個(gè)月前我就通過(guò)戴爾的安全網(wǎng)站告知他們此事，但是他們沒(méi)有作出任何回應(yīng)，也沒(méi)有表明他們已經(jīng)獲悉此事。不巧的是，我沒(méi)有那些受影響的KVM交換機(jī)的列表名單。我只知道他們有著經(jīng)過(guò)更名的相同的固件。而這些固件的原生産商是美國(guó)艾默生電氣公司旗下的Avocent，Avocent 是全球主要的KVM交換和連接解決方案的供應(yīng)商。”

　　一位來(lái)自卡巴斯基實(shí)驗(yàn)室(Kaspersky Labs)的研究人員也遇到了類似問(wèn)題，他表示同樣曾就此事聯(lián)繫戴爾公司。不過(guò)截至筆者發(fā)稿前，戴爾公司依然未予置評(píng)。

　　戴爾和IBM僅是最近幾週內(nèi)被發(fā)現(xiàn)産品存在漏洞的許多公司中的兩家。美國(guó)思科系統(tǒng)公司也被迫在週五推出了適用於多種版本小型辦公路由器的安全升級(jí)補(bǔ)丁，來(lái)保護(hù)用戶免受駭客攻擊。(實(shí)習(xí)編譯：胡丹 審稿：陳薇)