Wie Dell bekannt gibt, würden vier Schwachstellen es Angreifern ermöglichen, während des Pre-Boot-Prozesses beliebigen Code einzuschleusen und Sicherheitskontrollen zu umgehen. Entdeckt wurden die Lücken von der Sicherheitsfirma Eclypsium.

Die Sicherheitslücken betreffen die BIOSConnect-Funktion im Dell Client-BIOS von rund 30 Millionen Dell-Geräten weltweit : 128 Modelle bei Laptops, Desktops und Tablets. Die von Eclypsium-Forschern entdeckte Fehlerkette weist einen CVSS-Basiswert von 8,3.

Laut Dell ist die SupportAssist-Software auf den meisten Dell-Geräten mit Windows-Betriebssystem vorinstalliert. Die BIOSConnect-Funktion erleichtert dabei Remote-Firmware-Updates und Betriebssystemwiederherstellung sowie Fehlerbehebungsfunktionen. Dazu verbindet sie sich mit der Cloud-Infrastruktur von Dell.

Bei den Schwachstellen handelt es sich um eine unsicheren TLS-Verbindung vom BIOS zu Dell (CVE-2021-21571) und drei Überlauf-Schwachstellen (CVE-2021-21572, CVE-2021-21573 und CVE-2021-21574). Laut Eclypsium müssen Benutzer das System-BIOS/UEFI für alle betroffenen Systeme aktualisieren.

Dell teilt in einem Sicherheitshinweis mit, dass zwei der Schwachstellen bereits am 28. Mai auf der Serverseite behoben wurden, während die anderen beiden von den Usern verlangen, ihre Geräte zu patchen. Diese Patches seien verfügbar. Alle betroffenen Dell-Modelle sind ebenfalls im Advisory aufgelistet.

Anfang Mai hatte Dell bereits fünf Schachstellen im Treiber von PCs, Notebooks, Laptops und Tablets gemeldet. Auch davon sollten Hunderte von Millionen Windows-Devices von Dell betroffen gewesen sein.