思科Talos最新报告揭露戴尔Latitude和Precision笔记本电脑存在严重漏洞。了解黑客如何利用ControlVault芯片窃取敏感数据。

网络安全巨头思科在100多款戴尔笔记本电脑中发现严重的安全漏洞，全球数千万台设备面临风险。思科在分享的一份报告中披露了这一信息，并警告称，这些漏洞可能使攻击者完全控制设备、窃取密码并访问包括指纹信息在内的敏感数据。

这些漏洞被思科Talos团队命名为ReVault，影响名为Dell ControlVault的硬件组件。该硬件中发现了五个漏洞，已分配以下 CVE：
CVE-2025-24311
CVE-2025-25050
CVE-2025-25215
CVE-2025-24922
CVE-2025-24919

需要说明的是，戴尔ControlVault是一款旨在安全存储密码和生物特征数据的安全芯片。然而，这些漏洞可能允许攻击者绕过Windows登录，获得设备的持久访问权限，甚至篡改设备以接受任何指纹。

这对于政府和企业用户来说尤其令人不安，因为这些漏洞存在于许多以企业为中心的型号中，包括戴尔的Latitude和Precision系列，这些系列在政府和企业环境中很常见。

报告详细说明了攻击者利用这些漏洞的两种主要方式。第一种是获取笔记本电脑的永久访问权限。即使用户完全重新安装了操作系统，恶意程序也可能隐藏在ControlVault芯片中，从而构成持续威胁。

第二种是物理攻击。有权访问笔记本电脑的人可以打开笔记本电脑并直接篡改芯片，从而绕过登录屏幕，甚至欺骗指纹读取器接受任何指纹。

Cisco Talos建议所有受影响的戴尔笔记本电脑用户立即安装最新的固件更新，如果他们不使用指纹或智能卡读卡器等功能，请考虑禁用ControlVault服务。

戴尔在声明中确认，已迅速修复了报告的ControlVault3驱动程序和固件漏洞，这些漏洞影响了部分商用笔记本电脑。该公司表示，已与固件提供商合作解决了这些问题，并于6月13日通知客户已发布可用更新。

戴尔强调了应用安全更新和使用受支持的产品版本对维护系统安全的重要性。此外，戴尔还指出安全公告DSA-2025-053 中提供了受影响型号和缓解措施的详细信息。戴尔还补充说，与研究人员和行业合作伙伴协调披露仍然是其产品安全策略的核心部分。

我们的漏洞响应计划为客户提供及时的信息、指导和缓解方案，以解决我们产品中的漏洞。6月13日，我们通知客户已发布可用更新，以修复戴尔ControlVault3驱动程序和固件中已报告的漏洞，这些漏洞会影响某些商用PC。我们与固件提供商合作，快速解决了这些问题，并根据我们的 漏洞响应政策透明地披露了已报告的漏洞。

客户可以查看戴尔安全公告DSA-2025-053，了解受影响产品、版本等信息。与以往一样，客户务必及时应用我们提供的安全更新，并迁移到我们产品的支持版本，以确保其系统安全。

与行业合作伙伴和研究界合作进行协调披露是加强我们产品安全性和推动更广泛的技术行业发展的关键部分。” ---戴尔发言人

在另一项发展中，思科还与AI模型的主要中心Hugging Face合作，以应对AI供应链中日益增长的恶意软件和漏洞风险，该供应链包含数百万个可供开发人员使用的模型。

作为合作的一部分，思科恶意软件扫描程序ClamAV的一个特殊版本现在将自动扫描上传到Hugging Face平台的所有公共文件。思科指出，这项针对AI模型的全新反恶意软件功能将免费向公众开放。这些发现凸显了思科传递的更广泛信息，即从笔记本电脑硬件到支持AI的数字文件，各个层面的安全都至关重要。