Plusieurs grands acteurs du secteur présentent des failles de sécurité en raison de la popularité de l'UEFI.

Selon ITNews , Quarkslab a averti que ces failles de sécurité peuvent être exploitées par des attaquants distants non authentifiés sur le même réseau local, voire à distance dans certains cas. Les chercheurs ont indiqué que ces vulnérabilités peuvent entraîner des attaques DDoS, des fuites d'informations, l'exécution de code à distance, l'empoisonnement du cache DNS et le détournement de sessions réseau.

Le CERT Cybersecurity Coordination Center de l'Université Carnegie Mellon (États-Unis) a déclaré que cette erreur avait été identifiée dans le processus de mise en œuvre des fournisseurs UEFI, notamment American Megatrends, Insyde Software, Intel et Phoenix Technologies, tandis que Toshiba n'était pas concerné.

Insyde Software, AMI et Phoenix Technologies ont confirmé à Quarkslab qu'ils travaillaient à la mise en place de correctifs. Parallèlement, 18 autres fournisseurs, dont des géants comme Google, HP, Microsoft, ARM, ASUSTek, Cisco, Dell, Lenovo et VAIO, poursuivent leurs investigations sur ce bug.

Les failles résident dans la pile TCP/IP d'EDK II, NetworkPkg, utilisée pour le démarrage réseau et essentielle dans les centres de données et les environnements HPC pour l'automatisation des phases initiales de démarrage. Les trois failles les plus critiques, toutes avec un score CVSS de 8,3, sont liées à des dépassements de tampon dans les descripteurs DHCPv6, notamment CVE-2023-45230, CVE-2023-45234 et CVE-2023-45235. Les autres failles ont des scores CVSS compris entre 5,3 et 7,5.