Eine Reihe von großen Unternehmen weisen aufgrund der Popularität von UEFI Sicherheitslücken auf.

Laut ITNews warnte Quarkslab davor, dass diese Sicherheitslücken von nicht authentifizierten Angreifern im selben lokalen Netzwerk und in manchen Fällen sogar aus der Ferne ausgenutzt werden können. Die Forscher gaben an, dass die Auswirkungen dieser Schwachstellen DDoS-Angriffe, Datenlecks, die Ausführung von Schadcode aus der Ferne, DNS-Cache-Poisoning und die Übernahme von Netzwerksitzungen umfassen.

Das CERT Cybersecurity Coordination Center der Carnegie Mellon University (USA) teilte mit, dass dieser Fehler im Implementierungsprozess von UEFI-Anbietern, darunter American Megatrends, Insyde Software, Intel und Phoenix Technologies, festgestellt wurde, während Toshiba nicht betroffen war.

Insyde Software, AMI und Phoenix Technologies haben gegenüber Quarkslab bestätigt, dass sie an Fehlerbehebungen arbeiten. Der Fehler wird derweil noch von 18 weiteren Herstellern untersucht, darunter Branchengrößen wie Google, HP, Microsoft, ARM, ASUSTek, Cisco, Dell, Lenovo und VAIO.

Die Fehler befinden sich im TCP/IP-Stack von EDK II, genauer gesagt im NetworkPkg. Dieser wird für den Netzwerkstart verwendet und ist insbesondere in Rechenzentren und HPC-Umgebungen für die Automatisierung früher Startphasen wichtig. Die drei schwerwiegendsten Fehler, alle mit einem CVSS-Wert von 8,3, betreffen Pufferüberläufe in DHCPv6-Handles (CVE-2023-45230, CVE-2023-45234 und CVE-2023-45235). Die übrigen Fehler weisen CVSS-Werte zwischen 5,3 und 7,5 auf.