Forudinstalleret firmware-værktøj sætter 30 millioner Dell-enheder i fare

Fire sikkerhedssårbarheder i et værktøj, der er installeret på 128 typer af Dell-enheder, bringer omtrent 30 millioner Dell-produkter i fare for hacking.

Artikel top billede

(Foto: Niels de Boissezon)

Et firmware-opdateringsværktøj, der kommer forudinstalleret på mindst 128 modeller af Dell laptops, desktops, servere og tablets, har flere sårbarheder, der kan give en hacker adgang til at plante ondsindet kode i Dell-enhederne.

Det drejer sig om i alt fire sårbarheder, der påvirker omkring 30 millioner enheder, der bruger BIOSConnect-funktionaliteten i Dells supportværktøj SupportAssist.

Værktøjet kan gendanne operativsystemet eksternt eller opdatere firmwaren til en række forskellige Dell-enheder.

Det skriver Dark Reading.

En af de fire sårbarheder gør det netop muligt for en hacker at udnytte denne funktion. Ved at opfange den oprindelige BIOSConnect-trafik, kan hackeren sende kode til Dells system ved at immitere en Dell-enhed.

Alt der er krævet for at snyde værktøjet er et wildcard-certifikat købt fra en hvilken som helst af de certifikatmyndigheder, der er tillid til af Dell BIOSConnect.

De tre andre sårbarheder handler om buffer overflow der tillader udførelse af kode for at omgå sikkerheden i SecureBoot.

Torsdag udgav Dell en rådgivning for de fire sårbarheder og sagde, at virksomheden allerede havde lukket to af sårbarhederne med opdateringer til sine servere.

De to andre sårbarheder (CVE-2021-21571), kan kun løses ved at opdatere BIOS.

Læses lige nu

    Annonceindlæg fra Kommando

    Identity: Kortere levetid på certifikater øger risikoen for nedbrud

    Digitale certifikater er fundamentet for tillid. Nu ændres vilkårene, og der stilles helt nye krav til, hvordan I arbejder med overblik og styring.

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    MLOps Engineer til opbygning af Forsvarets nye AI-platform

    Nordjylland

    Forsvarets Efterretningstjeneste

    IT-direktør til Forsvarets Efterretningstjeneste

    Københavnsområdet

    Everllence

    Senior Software Engineer - R&D

    Københavnsområdet

    Navnenyt fra it-Danmark

    Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S