HP

黑洞加速器研究中心

HP 未修复的固件安全漏洞

关键要点

  • HP 首先披露的六个 firmware 安全漏洞仍未修复,影响部分企业笔记本设备。
  • 这些高危漏洞可能导致以最高权限执行任意代码。
  • 漏洞的报告时间均集中在 2021 年和 2022 年。
  • Binarly 研究人员指出固件供应链的复杂性增加了修复的难度。

根据 的报道,HP在其部分企业笔记本设备中,存在六个固件安全漏洞尚未修复,尽管这些漏洞早在几个月前就已公开披露。受影响的 HP EliteBook设备出现了高严重性的漏洞,这些漏洞源于基于固件的系统管理模式的内存损坏,可能被利用以最高权限执行任意代码,Binarly 研究人员对此进行了报道。

HP 于 2021 年 7 月已被告知与 CVE-2022-23930 相关的堆栈缓冲区溢出漏洞,以及在输入验证方面的问题,分别跟踪为
CVE-2022-31640 和 CVE-2022-31641,而与越界写入漏洞相关的 CVE-2022-31644、CVE-2022-31645 和
CVE-2022-31646 则是在 2022 年 4 月报告的,但 HP 只在 3 月和 8 月发布了一些措施。

“在许多情况下,固件是供应链所有层之间的单一故障点…由于固件供应链的复杂性,制造端存在难以解决的漏洞,因为这涉及到超出设备厂商控制范围的问题,”Binarly
表示。

漏洞名称 | 漏洞类型 | 报告时间 | CVE 编号
—|—|—|—
溢出漏洞 | 堆栈缓冲区溢出 | 2021 年 7 月 | CVE-2022-23930
验证问题 | 输入验证漏洞 | 2021 年 7 月 | CVE-2022-31640、CVE-2022-31641
越界写入 | 越界写入漏洞 | 2022 年 4 月 | CVE-2022-31644、CVE-2022-31645、CVE-2022-31646

这一系列漏洞的存在,使得 HP EliteBook 用户面临潜在的安全风险,防护措施的滞后让人深感担忧。适时的修复和更新固件是确保设备安全的关键。

Leave a Reply

Your email address will not be published. Required fields are marked *