Megosztás az X-en
Képzeld el, hogy minden reggel ugyanúgy nyitod fel a laptopod. Gépelsz, bankolsz, belépsz, fizetsz, dolgozol. Közben pedig azt hiszed, a géped veled van – és csak veled. A valóság azonban, mint kiderült, ennél jóval törékenyebb.
Sajtóhírek szerint több tízmillió Dell laptop lehet veszélyben világszerte. És nem egy egyszerű szoftveres hibáról van szó, amit egy gyors újratelepítéssel helyre lehet hozni. Hanem egy olyan hardveres biztonsági résről, amely mélyen a gép lelkébe van égetve – és amely, ha kihasználják, akár az újratelepítés után is kiskaput hagyhat nyitva.
Mi a baj?
A probléma forrása egy olyan chip, amit éppen a nagyobb biztonság kedvéért építettek be. Ez a Broadcom BCM5820X, ami a Dell laptopokban található ControlVault3 nevű biztonsági rendszert vezérli. Ez egyfajta mini széf a gépen belül – ide kerülnek például a jelszavak, az ujjlenyomatod, vagy épp az arcfelismerő rendszer adatai.
Most viszont öt olyan sebezhetőséget is felfedeztek benne, amelyek lehetővé tehetik a támadók számára, hogy:
-
megszerezzék a titkosított adatokat,
-
távolról kódot futtassanak a gépeden,
-
vagy akár tartós, újratelepítés utáni hozzáférést is szerezzenek a laptophoz.
És mindezt anélkül, hogy te bármit észrevennél.
Milyen hibákról van szó pontosan?
A Dell által megerősített sebezhetőségek hivatalos biztonsági azonosítóval (CVE – Common Vulnerabilities and Exposures) is rendelkeznek. Ezek mind a Broadcom BCM5820X chiphez kapcsolódnak, és a Dell Precision, illetve Latitude gépeken futó ControlVault3 firmware-t érintik:
-
CVE‑2025‑24311 – Out-of-bounds read, amely lehetővé teheti érzékeny információk kiszivárgását.
-
CVE‑2025‑25215 – Arbitrary memory free, amellyel támadók memóriakezelési műveleteket manipulálhatnak.
-
CVE‑2025‑24922 – Buffer overflow, amely kódfuttatáshoz vezethet.
-
CVE‑2025‑25050 – Out-of-bounds write, egy másik módja a távoli kódfuttatásnak.
-
CVE‑2025‑24919 – Unsafe deserialization, amely firmware szintű manipulációra adhat lehetőséget.
A biztonsági szakértők és a Dell szerint ezek mind a magas, 8 feletti súlyossági kategóriába esnek.
Kiket érint?
A Dell Latitude és Dell Precision sorozat számos modellje szerepel az érintettek között – ezek jellemzően céges és kormányzati felhasználásra szánt laptopok, különösen ott, ahol biometrikus azonosítás vagy kártyás beléptetés is használatban van.
Nem tudni pontosan, hány eszközről van szó, de tízmilliós nagyságrendre becsülik a gyártási volument világszerte.
Miért különösen veszélyes?
Ez nem olyan, mint egy egyszerű vírus. Itt nem a Windows hibás. A sebezhetőség a hardver biztonsági chipjében van, mélyen az operációs rendszer alatt. Ez azt jelenti, hogy akár újratelepítés után is ott maradhat a kiskapu, ha valaki időben kihasználja.
A The Register és heise online technológiai oldalak szerint egyes támadások „perzisztensek” lehetnek – vagyis túlélhetnek minden felhasználói próbálkozást, hacsak nem történik célzott frissítés a chipek firmware-jére.
Mit mond a Dell? Mit tegyél?
A Dell szerint a hibát már tavasszal azonosították, és június 13-án kiadták a hivatalos frissítést (DSA-2025-053). A vállalat hangsúlyozza, hogy:
„Az érintett eszközök felhasználóit már korábban értesítettük. A frissítések elérhetők, és azonnal telepíteni kell őket.”
Teendő lépésről lépésre:
-
Nyisd meg a Dell támogatási weboldalát: https://www.dell.com/support
-
Írd be a géped szervizkódját vagy válaszd ki a típusát.
-
Töltsd le a legújabb ControlVault3 firmware-frissítést és a kapcsolódó biztonsági drivereket.
-
Kövesd a telepítési utasításokat. Fontos: ez nem automatikus Windows Update, külön kell telepítened.
-
Indítsd újra a géped a frissítés után.
Ha nem tudod, mit keress: a frissítések verziószáma 5.15.10.14 (vagy magasabb) a ControlVault3-nál, és 6.2.26.36 a ControlVault3 Plus esetén.
Miért érdemes ezt komolyan venni?
Mert ez nem csak IT-téma. Ez a bizalomról szól. Arról, hogy a digitális világban mit jelent „biztonságban lenni”. A géped – és rajta minden adatod – lehetett eddig a saját várad. Most azonban kiderült: a falak nem voltak olyan szilárdak, mint hitted.
És hogy mit tanulhatunk belőle?
Azt, hogy a legmodernebb védelem is lehet sebezhető, ha nem figyelünk rá. És hogy az adataink védelme nem egy egyszeri döntés, hanem folyamatos, tudatos odafigyelés.
Jogilag mit jelent mindez?
Felmerül a kérdés: van-e felelőssége a gyártónak ilyen esetben?
A termékfelelősségi szabályozás szerint a gyártó csak akkor mentesül a felelősség alól, ha bizonyítja, hogy minden tőle elvárható lépést megtett. Ha nem tette – például nem időben javított, vagy nem tájékoztatta megfelelően a felhasználókat –, akkor akár kártérítési felelőssége is lehet.
IT-termékek esetében azonban a legtöbb felhasználási feltétel kizárja a teljes körű felelősséget. A gyártók általában csak „legjobb tudás szerinti működést” garantálnak.
Azonban ha a biztonsági hiba érzékeny személyes adatok kiszivárgásához vezetett, akkor – különösen az európai szabályozás, például a GDPR szerint – az adatkezelő (és adott esetben a gyártó) felelőssége is felmerülhet.
Ez azt jelenti: a felhasználó nem teljesen védtelen jogi szempontból sem – de ahhoz, hogy valódi jogi következmény legyen, az adatvesztés tényét, kárát és okát is bizonyítani kell.
Ne hagyd a géped védelem nélkül. Ez nem csak egy frissítés – ez egy digitális zárcsere.
És most nem a jövő biztonságáról van szó. Hanem a jelenéről.