聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
固件漏洞尤为危险,因为它们可导致恶意软件感染,而这种感染甚至在操作系统重装过程中仍然持久存在,或者可导致长久攻陷,导致无法触发标准安全工具。
Binarly 公司在报告中强调称,即使距离他们在2022年黑客大会上披露了其中一些缺陷已过去一个月的时间,但惠普仍未向所有受影响机型发布安全更新,导致很多客户被暴露到攻击中。
安全研究人员在2021年7月报告了三个漏洞,并在2022年4月报告了其它三个漏洞,因此惠普未向所有受影响设备推送更新的时间已达到四个月到一年多的时间不等。
Binarly 公司的安全研究员最近发现的漏洞都是SMM内存损坏漏洞,可导致任意代码执行后果。SMM是UEFI固件的一部分,可提供系统功能如底层硬件控制和电源管理等。
SMM子系统的权限超过了操作系统内核的权限,因此影响SMM的缺陷可导致安全特性如 Secure Boot (安全启动)等不合法、(为受害者)创建不可见的后门、并导致入侵者安装永久性恶意软件植入等。
Binarly 安全研究员发布的惠普未修复缺陷如下:
-
CVE-2022-23930——可导致任意代码执行后果的栈缓冲区溢出(CVSSv3评分8.2,“高危”)
-
CVE-2022-31644——CommBuffer 上的界外写漏洞,可导致部分验证绕过(CVSSv3评分7.5,“高危”)
-
CVE-2022-31645——因未检查发送给SMI句柄的指针大小而导致的CommBuffer 上的界外写(CVSSv3评分8.2,“高危”)
-
CVE-2022-31636——机遇直接内存操控API功能的界外写,可导致提权和任意代码执行(CVSSv3评分8.2,“高危”)
-
CVE-2022-31640——输入验证不当,可导致攻击者控制CommBuffer数据并开放不受限制修改路径(CVSSv3评分7.5,“高危”)
-
CVE-2022-31641——SMI句柄中的调用漏洞,可导致任意代码执行(CVSSv3评分7.5,“高危”)
惠普已经发布三份安全公告,证实以上漏洞存在,并且还发布了三份BIOS更新,修复其中一些受影响机型。
CVE-2022-23930在2022年3月所有受影响系统中均已修复,除瘦客户端PC外。CVE-2022-31644、CVE-2022-31645和CVE-2022-31646在2022年8月9日收到了安全更新。
然而,很多商务笔记本个人电脑(Elite、Zbook和ProBook)、上午桌面个人电脑(ProDesk、EliteDesk、ProOne)、销售点系统以及惠普工作站(Z1、Z2、Z4、Zcentral)尚未收到任何补丁。
CVE-2022-31640和CVE-2022-31641在8月收到了修复方案,最新更新是在2022年9月,但很多虎扑工作站仍然遭暴露且不存在官方修复方案。
如同Binarly 的研究人员所评论的那样,对于单个厂商而言,修复固件缺陷非常难,因为固件供应链复杂度高,因此很多惠普客户不得不接受这种风险并增加物理安全措施。
目前惠普公司并未说明余下的受影响机型何时将收到安全更新。
https://www.bleepingcomputer.com/news/security/firmware-bugs-in-many-hp-computer-models-left-unfixed-for-over-a-year/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):一年多了, 惠普仍未修复企业设备中的这6个高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论