El controlador de actualización del firmware de Dell ha albergado graves fallos de seguridad durante más de una década, según los investigadores
El grupo de investigación de seguridad SentinelLabs afirma haber descubierto fallos potencialmente peligrosos en un Dell que, según afirma, plantea ramificaciones potencialmente "de gran alcance y significativas" para cientos de millones de usuarios individuales y empresariales con PC del OEM en todo el mundo.
El laboratorio afirma que las vulnerabilidades son encontradas en el módulo del controlador de actualización del firmware de Dell v2.3 (dbutil_2_3.sys) , que ha estado activo en las máquinas de la compañía desde 2009. Aparentemente hay 5 de estos fallos, 4 de los cuales son escaladas de privilegios locales (LPEs) y 1 un fallo de denegación de servicio (DoS).
De los LPEs, 2 se describen en como de corrupción de memoria y 2 de deficiencias en la validación de entradas. Según SentinelLabs, pueden dar lugar a varios puntos de entrada para usuarios sin privilegios, uno de los más destacados es la capacidad de ejecutar solicitudes de control de entrada/salida (IOCTL) sin referencia a una lista de control de acceso (ACL).
Esta licencia para anular las ACL (un conjunto de reglas destinadas a restringir el acceso sólo a usuarios con privilegios) podría permitir a un actor malicioso crear vulnerabilidades de lectura/escritura, o interactuar con componentes como GPUs o los discos duros. Los 5 fallos se conocen ahora colectivamente como CVE-2021-21551, que tiene una calificación de gravedad de 8,8 sobre 10.
Por otra parte, SentinelLabs también señala que no tiene ningún registro de que los fallos hayan sido explotados (quizás habríamos oído hablar de ellos antes si esto hubiera ocurrido). Informó a Dell de la situación mucho antes de publicar su investigación, por lo que el aviso de seguridad DSA-2021-088 se envió a todos los ordenadores que ejecutaban el controlador afectado
Sin embargo, el equipo de seguridad considera la medida insatisfactoriaalegando que su "certificado aún no había sido revocado (en el momento de escribir este artículo)". No obstante, se aconseja instalar el nuevo controlador corregido que se encuentra en el reciente DSA para protegerse mejor contra los posibles problemas de seguridad.
Lo primero que debe hacer al configurar su nuevo XPS 13, entonces.
Fuente(s)
Top 10 Análisis
» Top 10 Portátiles Multimedia
» Top 10 Portátiles de Juego
» Top 10 Portátiles de Juego ligeros
» Top 10 Portátiles Asequibles de Oficina/Empresa
» Top 10 Portátiles de Juego Ligeros
» Top 10 Portátiles de Oficina/Empresa Premium
» Top 10 Estaciones de Trabajo
» Top 10 Subportátiles
» Top 10 Ultrabooks
» Top 10 Convertibles
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Tablets de menos de 250 Euros
» Top 10 Phablets (>5.5")
» Top 10 Smartphones
» Top 10 Smartphones (≤5")
» Top 10 Smartphones de menos de 300 Euros
» Top 10 Smartphones de menos de 120 Euros
» Top 10 Portátiles de menos de 1000 Euros
» Top 10 Portátiles de menos de 500 Euros
» Top 10 Portátiles de menos de 300 Euros
» Los Mejores Displays de Portátiles Analizados por Notebookcheck