Notebookcheck Logo

El controlador de actualización del firmware de Dell ha albergado graves fallos de seguridad durante más de una década, según los investigadores

Un Core i7 XPS 13. (Fuente: Dell)
Un Core i7 XPS 13. (Fuente: Dell)
Dell ha emitido numerosos parches como parte de su último aviso de seguridad (DSA-2021-088) en respuesta a los hallazgos de una CVE "severa" que consiste en cinco errores diferentes de explotación de privilegios que aparentemente han estado vigentes durante los últimos 12 años. Afortunadamente, nunca se ha actuado sobre ellos, ya que podrían haber permitido a usuarios no autorizados escribir datos o manipular la memoria.
Business Convertible / 2-in-1 Desktop GPU Laptop / Notebook Security Software Storage Ultrabook

El grupo de investigación de seguridad SentinelLabs afirma haber descubierto fallos potencialmente peligrosos en un Dell que, según afirma, plantea ramificaciones potencialmente "de gran alcance y significativas" para cientos de millones de usuarios individuales y empresariales con PC del OEM en todo el mundo.

El laboratorio afirma que las vulnerabilidades son encontradas en el módulo del controlador de actualización del firmware de Dell v2.3 (dbutil_2_3.sys) , que ha estado activo en las máquinas de la compañía desde 2009. Aparentemente hay 5 de estos fallos, 4 de los cuales son escaladas de privilegios locales (LPEs) y 1 un fallo de denegación de servicio (DoS).

De los LPEs, 2 se describen en como de corrupción de memoria y 2 de deficiencias en la validación de entradas. Según SentinelLabs, pueden dar lugar a varios puntos de entrada para usuarios sin privilegios, uno de los más destacados es la capacidad de ejecutar solicitudes de control de entrada/salida (IOCTL) sin referencia a una lista de control de acceso (ACL).

Esta licencia para anular las ACL (un conjunto de reglas destinadas a restringir el acceso sólo a usuarios con privilegios) podría permitir a un actor malicioso crear vulnerabilidades de lectura/escritura, o interactuar con componentes como GPUs o los discos duros. Los 5 fallos se conocen ahora colectivamente como CVE-2021-21551, que tiene una calificación de gravedad de 8,8 sobre 10.

Por otra parte, SentinelLabs también señala que no tiene ningún registro de que los fallos hayan sido explotados (quizás habríamos oído hablar de ellos antes si esto hubiera ocurrido). Informó a Dell de la situación mucho antes de publicar su investigación, por lo que el aviso de seguridad DSA-2021-088 se envió a todos los ordenadores que ejecutaban el controlador afectado

Sin embargo, el equipo de seguridad considera la medida insatisfactoriaalegando que su "certificado aún no había sido revocado (en el momento de escribir este artículo)". No obstante, se aconseja instalar el nuevo controlador corregido que se encuentra en el reciente DSA para protegerse mejor contra los posibles problemas de seguridad.

Lo primero que debe hacer al configurar su nuevo XPS 13, entonces.

Artículos relacionados

La tarjeta gráfica GeForce RTX 3060 del Dell G15 parece tener un número reducido de núcleos CUDA
El curioso caso de la falta de núcleos CUDA: El listado de Dell G15 sugiere que su GeForce RTX 3060 no es tan potente como debería 06/10/2021
El Alienware m15 R5 recuperará su dotación completa de núcleos CUDA a finales de este mes. (Fuente de la imagen: Dell)
Dell admite haber desactivado los núcleos CUDA de la NVIDIA GeForce RTX 3070 en el Alienware m15 R5; la solución está en camino 06/09/2021
El próximo portátil Dell Alienware x15 es tan fino que ni siquiera tiene puertos laterales (Fuente: Dell)
El próximo portátil Dell Alienware x15 es tan fino que ni siquiera tiene puertos laterales 06/01/2021
El Dell XPS 15 9510 recupera la opción de pantalla OLED. (Fuente de la imagen: Dell)
El Dell XPS 15 9510 recibe una opción táctil OLED de 3,5K junto con soporte de ray tracing y DLSS gracias a las GPUs RTX 3050 y RTX 3050 Ti para portátiles 05/11/2021
El 2021 XPS 17 cuenta con pantallas táctiles 16:10 4K mejoradas. (Fuente de la imagen: Dell)
Dell renueva el XPS 17 con CPUs Intel Tiger Lake-H, GPUs RTX 3000 y pantallas táctiles mejoradas 05/11/2021
MSI Summit E13 Flip vs. XPS 13 2-en-1: Dando a Dell una carrera por su dinero
MSI Summit E13 Flip vs. XPS 13 2-en-1: Dando a Dell una carrera por su dinero 05/02/2021
Dell presenta una digna alternativa a la MS Surface. (Fuente de la imagen: Dell)
Dell lanza el Latitude 7320 desmontable con CPUs Tiger Lake-U 04/24/2021
El Dell XPS 13 9310 ya está disponible con una pantalla OLED, aunque con un recargo de 300 dólares respecto a la pantalla FHD normal. (Fuente de la imagen: Dell)
Dell lanza el nuevo XPS 13 con una pantalla táctil OLED de 3,5K y procesadores Tiger Lake 04/14/2021
El Inspiron 16 Plus está dirigido a los creadores de contenidos e incluye una pantalla 3K con relación de aspecto 16:10. (Fuente de la imagen: Dell)
Dell presenta el portátil Inspiron 16 Plus para creadores de contenidos con pantalla 3K 16:10, CPUs Tiger Lake-H y hasta una GPU Nvidia RTX 3060 04/13/2021
Lamentablemente, no hay opción de GPU discreta para las nuevas versiones con tecnología AMD. (Fuente de la imagen: Dell)
Dell lanza el Inspiron 14 7415 2-en-1 con procesadores AMD Ryzen 5000U 04/13/2021
Un modder reutiliza un AirTag de Ap...
Los próximos MacBooks podrían venir...
Please share our article, every link counts!
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2021 05 > El controlador de actualización del firmware de Dell ha albergado graves fallos de seguridad durante más de una década, según los investigadores
Deirdre O'Donnell, 2021-05- 8 (Update: 2021-05- 8)