資安廠商發現，自 2009 年起發售的數千萬台 Dell 品牌 Windows 電腦，其 BIOS 驅動程式内含一個嚴重資安漏洞，可導致駭侵者提升執行權限；用戶應立即更新。

資安廠商 SentinelLabs 近日發表研究報告指出，該公司旗下的研究人員發現，自 2009 年起發售的數千萬台 Dell 品牌 Windows 電腦，其 BIOS 驅動程式内含一個嚴重資安漏洞，可導致駭侵者提升執行權限到核心模式等級，可用於發動各類攻擊。Dell 電腦設備的用戶，應立即更新系統。

SentinelLabs 總共發現五個漏洞，都歸於 CVE-2021-21551 這個編號之下；這五個漏洞都發生在 Dell 用來更新 BIOS 時使用的軟體 DBUtil 内，包括兩種記憶體崩潰錯誤、兩種輸入檢查不當錯誤，以及一個程式碼邏輯問題。

駭侵者可以利用這些錯誤，將自身的執行權限自非系統管理者用戶，一舉提升到核心模式等級，因而可以存取系統上所有的軟硬體資源，發動多種後續攻擊。

CVE-2021-21551 的 CVSS 危險程度評分為 8.8 分，危險程度分級為「高」，而非最高等級的「嚴重」；之所以無法取得更高得分的原因，在於駭侵者必須先以其他方式駭入系統，才能利用這個漏洞提升權限。

據研究者指出，這個漏洞遠從 2009 年起便存在於 Dell 發展的各型 Windows 電腦中，包括各型桌上型、筆記型、平板電腦與伺服器等機型，數量可能高達數千萬台之多；雖然目前尚未傳出有攻擊行動係利用這個漏洞進行，但由於數量實在太大，因此很可能會有駭侵者利用此漏洞，針對尚未更新的 Dell 電腦發動大規模攻擊。

SentinelLabs 於 2020 年 12 月初提報這個漏洞給 Dell 後，Dell 花了四個多月的時間，在近期推出更新程式供用戶使用；強烈建議所有 Dell Windows 電腦，依照 Dell 發表的資安通報說明進行資安修補更新，以降低遭駭侵者利用此漏洞發動攻擊的風險。