近日,Razer发布了一系列针对其自推出以来至2016年底所生产的笔记本电脑型号的修复程序。对于更早的Blade和Blade Pro系列的用户来说,他们需要等待一段时间才能收到修复方案。此次的漏洞与两年前在Apple MacBook中发现的CVE-2018-251后门问题类似,该问题至今仍在制造模式下销售的设备中存在。这一发现虽令人惊讶,但可能只是纯粹的巧合。
近年来,在中国组装生产的设备似乎越来越多地与某种脆弱性联系在一起。除了华为的设备和笔记本电脑被怀疑存在后门或情报机构漏洞外,人们还可能记得Apple MacBook的安全漏洞事件,或者诺基亚设备向远程中文服务器发送用户信息的报道。就在最近,根据一份报告指出,Razer的笔记本电脑也存在安全隐患。对此,Razer公司迅速作出回应,明确表示已经意识到这些问题。
Bailey Fox在seclists上报告了Razer笔记本电脑的安全漏洞。他描述称,这一漏洞允许攻击者使用Intel Boot Guard保护rootkit并降级BIOS以利用旧版漏洞,如Meltdown等。福克斯还指出,这个漏洞与苹果MacBook在两年前发现的CVE-2018-251后门问题相似。当时,苹果设备被发现在制造模式下依然可以被激活使用漏洞。针对这一问题,苹果公司直至几个月后才修复了高端Sierra 10.13.4版macOS的漏洞。相较之下,Razer的反应时间稍显缓慢。福克斯在三月末便已经公开披露了这个问题,而Razer在四月才发布了针对部分型号的固件修复程序。这意味着其所有笔记本电脑型号在超过两周的时间内都暴露在风险之下。据Tom's Hardare报道,Razer目前已经成功发布了自推出以来至2016年底的所有型号固件更新。但对于更早的型号系列仍受到影响的情况,Razer正在加紧开发软件工具以应对这一挑战。公司呼吁所有受影响客户通过官方支持页面与Razer联系以便获得进一步的帮助。同时Razer也发布了受影响产品的清单以便客户确认自己的设备是否包含在内。这一事件再次提醒我们无论品牌大小安全始终是第一位的必须时刻关注并采取措施确保设备的安全运行。