Notebookcheck Logo

Selon des chercheurs, le pilote de mise à jour du micrologiciel de Dell abrite de graves bogues de sécurité depuis plus de dix ans

Un Core i7 XPS 13. (Source : Dell)
Un Core i7 XPS 13. (Source : Dell)
Dell a publié de nombreux correctifs dans le cadre de son dernier avis de sécurité (DSA-2021-088) en réponse à la découverte d'un CVE "sévère" composé de cinq bogues d'exploitation de privilèges différents qui sont apparemment en vigueur depuis 12 ans. Heureusement, ils n'ont jamais été mis à exécution, ce qui, comme ils auraient pu le faire, aurait permis à des utilisateurs non autorisés d'écrire des données ou de manipuler la mémoire.

Le groupe de recherche en sécurité SentinelLabs affirme avoir découvert des bogues potentiellement dangereux dans un produit commun de Dell qui, selon lui, pourrait avoir des conséquences "importantes et de grande portée" pour des centaines de millions d'utilisateurs individuels et d'entreprises possédant des PC de l'équipementier dans le monde entier.

Le laboratoire affirme que les vulnérabilités sont trouvées dans le module pilote de mise à jour du micrologiciel Dell v2.3 (dbutil_2_3.sys) , qui est actif sur les machines de l'entreprise depuis 2009. Il y a apparemment 5 de ces failles, dont 4 sont des élévations de privilèges locales (LPE) et 1 un bug de déni de service (DoS).

Parmi les LPE, 2 sont décrites sur comme étant provenant d'une corruption de la mémoire et 2 d'un défaut de validation des entrées. Selon SentinelLabs, ils peuvent conduire à divers points d'entrée pour les utilisateurs non privilégiés, dont l'un des plus importants est la possibilité d'exécuter des demandes de contrôle d'entrée/sortie (IOCTL) sans référence à une liste de contrôle d'accès (ACL).

Cette licence permettant de passer outre les ACL (un ensemble de règles destinées à restreindre l'accès aux seuls utilisateurs privilégiés) pourrait permettre à un acteur malveillant de créer des vulnérabilités en lecture/écriture, ou d'interagir avec des composants tels que les GPU ou les disques durs. Les cinq bogues sont désormais connus sous le nom de CVE-2021-21551, dont le degré de gravité est de 8,8 sur 10.

Encore une fois, SentinelLabs note également qu'ils ont aucune trace les SentinelLabs notent également qu'ils n'ont aucune trace de l'exploitation de ces failles (peut-être aurions-nous entendu parler d'elles plus tôt si cela s'était produit). Ils ont informé Dell de la situation bien avant de publier ses recherches, ce qui a entraîné l'envoi de l'avis de sécurité DSA-2021-088 à tous les PC utilisant le pilote concerné

Cependant, l'équipe de sécurité estime que cette mesure n'est pas satisfaisanteL'équipe de sécurité estime toutefois que cette mesure n'est pas satisfaisante, car elle affirme que son "certificat n'a pas encore été révoqué (au moment de la rédaction du présent document)". Néanmoins, il est conseillé d'installer le nouveau pilote corrigé trouvé dans la récente DSA pour se protéger au mieux contre les problèmes de sécurité potentiels.

Première chose à faire lors de la configuration de votre nouveau XPS 13, donc.

Please share our article, every link counts!
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2021 05 > Selon des chercheurs, le pilote de mise à jour du micrologiciel de Dell abrite de graves bogues de sécurité depuis plus de dix ans
Deirdre O'Donnell, 2021-05- 8 (Update: 2021-05- 8)