一年多了, 惠普仍未修复企业设备中的这6个高危漏洞

admin 2022年9月14日15:54:09安全新闻评论1 views1801字阅读6分0秒阅读模式

一年多了, 惠普仍未修复企业设备中的这6个高危漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

用于企业环境中的多台惠普设备中存在六个高危固件漏洞,虽然已在2021年7月公开披露,但现在仍未修复。

固件漏洞尤为危险,因为它们可导致恶意软件感染,而这种感染甚至在操作系统重装过程中仍然持久存在,或者可导致长久攻陷,导致无法触发标准安全工具。

Binarly 公司在报告中强调称,即使距离他们在2022年黑客大会上披露了其中一些缺陷已过去一个月的时间,但惠普仍未向所有受影响机型发布安全更新,导致很多客户被暴露到攻击中。

安全研究人员在2021年7月报告了三个漏洞,并在2022年4月报告了其它三个漏洞,因此惠普未向所有受影响设备推送更新的时间已达到四个月到一年多的时间不等。


漏洞详情


Binarly 公司的安全研究员最近发现的漏洞都是SMM内存损坏漏洞,可导致任意代码执行后果。SMM是UEFI固件的一部分,可提供系统功能如底层硬件控制和电源管理等。

SMM子系统的权限超过了操作系统内核的权限,因此影响SMM的缺陷可导致安全特性如 Secure Boot (安全启动)等不合法、(为受害者)创建不可见的后门、并导致入侵者安装永久性恶意软件植入等。

Binarly 安全研究员发布的惠普未修复缺陷如下:

  • CVE-2022-23930——可导致任意代码执行后果的栈缓冲区溢出(CVSSv3评分8.2,“高危”)

  • CVE-2022-31644——CommBuffer 上的界外写漏洞,可导致部分验证绕过(CVSSv3评分7.5,“高危”)

  • CVE-2022-31645——因未检查发送给SMI句柄的指针大小而导致的CommBuffer 上的界外写(CVSSv3评分8.2,“高危”)

  • CVE-2022-31636——机遇直接内存操控API功能的界外写,可导致提权和任意代码执行(CVSSv3评分8.2,“高危”)

  • CVE-2022-31640——输入验证不当,可导致攻击者控制CommBuffer数据并开放不受限制修改路径(CVSSv3评分7.5,“高危”)

  • CVE-2022-31641——SMI句柄中的调用漏洞,可导致任意代码执行(CVSSv3评分7.5,“高危”)


安全缺陷修复状态

惠普已经发布三份安全公告,证实以上漏洞存在,并且还发布了三份BIOS更新,修复其中一些受影响机型。

CVE-2022-23930在2022年3月所有受影响系统中均已修复,除瘦客户端PC外。CVE-2022-31644、CVE-2022-31645和CVE-2022-31646在2022年8月9日收到了安全更新。

然而,很多商务笔记本个人电脑(Elite、Zbook和ProBook)、上午桌面个人电脑(ProDesk、EliteDesk、ProOne)、销售点系统以及惠普工作站(Z1、Z2、Z4、Zcentral)尚未收到任何补丁。

CVE-2022-31640和CVE-2022-31641在8月收到了修复方案,最新更新是在2022年9月,但很多虎扑工作站仍然遭暴露且不存在官方修复方案。

如同Binarly 的研究人员所评论的那样,对于单个厂商而言,修复固件缺陷非常难,因为固件供应链复杂度高,因此很多惠普客户不得不接受这种风险并增加物理安全措施。

目前惠普公司并未说明余下的受影响机型何时将收到安全更新。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

惠普修复预装的支持助手工具中的严重漏洞
200多款惠普设备存在两个高危的固件覆写漏洞
惠普Teradici PCoIP 受OpenSSL 漏洞影响,波及1500万个端点



原文链接

https://www.bleepingcomputer.com/news/security/firmware-bugs-in-many-hp-computer-models-left-unfixed-for-over-a-year/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




一年多了, 惠普仍未修复企业设备中的这6个高危漏洞
一年多了, 惠普仍未修复企业设备中的这6个高危漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   一年多了, 惠普仍未修复企业设备中的这6个高危漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):一年多了, 惠普仍未修复企业设备中的这6个高危漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月14日15:54:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  一年多了, 惠普仍未修复企业设备中的这6个高危漏洞 http://cn-sec.com/archives/1295112.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: