信息來源：Freebuf

在過去的12年中，戴爾的臺式機、筆記本、平板電腦等設備的驅動程序中一直存在嚴重漏洞，會導致系統(tǒng)權限增加。

5月4日，戴爾發(fā)布安全公告，稱修補了一個存在長達12年的驅動程序漏洞。該漏洞預估影響上億臺戴爾設備。從臺式機到最新的Alienware和筆記本電腦，大約380種型號的設備受到了影響。

該漏洞由安全企業(yè)Sentinel Labs披露，該漏洞實際上是五個連續(xù)漏洞，皆位于戴爾驅動程序DBUtil（dbutil_2_3.sys）之中。戴爾將這五個漏洞統(tǒng)一追蹤為編號CVE-2021-21551，歸屬于訪問管控不足漏洞。

這五個漏洞可使攻擊者獲得本機權限以執(zhí)行惡意程序代碼。具體來看，五個漏洞中四個是提權漏洞，一個是可引發(fā)拒絕服務（Denial of Service，DoS）攻擊漏洞。

目前尚無該漏洞被利用的消息。但研究人員Kasif Dekel表示，該漏洞“很容易被利用”，攻擊者可能利用釣魚攻擊或結合其他手法擴大傷害，在網絡上橫向移動。由于需要本機權限，該漏洞風險層級被列為8.8。該研究人員在一篇博客文章中提供了技術信息，但未披露PoC，方便用戶有時間安裝補丁。他計劃在6月1日分享PoC的漏洞代碼。

根據(jù)戴爾的常見問題解答，攻擊者需要對計算機進行本地訪問才能攻擊或通過網絡釣魚等其他方式欺騙用戶。此外，只有在用戶更新固件后，它才會影響PC，因為相關的驅動程序未預裝在PC上。

CVE-2021-21551的沖擊在于它從2009年就已存在DBUtil中，它可能傳播問題驅動程序，并將之安裝在戴爾用戶設備上。受漏洞影響的軟件包括BIOS更新、Thunderbolt固件、TPM固件更新、dock固件更新等。

戴爾呼吁用戶盡快安裝更新版固件，但也說明該漏洞只影響Windows設備，Linux平臺不受影響。