Уязвимости в устройствах HP для бизнеса не исправлены спустя год после обнаружения

Пн 12 Сентябрь 2022 06:29

6 опасных уязвимостей встроенного ПО во множестве компьютеров HP, используемых в корпоративных средах, до сих пор не исправлены, хотя некоторые из них были публично раскрыты с июля 2021 года.

Согласно отчету Binarly , исследователи обнародовали некоторые недостатки на Black Hat 2022 в августе, но поставщик не выпустил обновления безопасности для всех затронутых моделей, что сделало многих клиентов уязвимыми для атак.

Недостатки, обнаруженные Binarly, связаны с повреждением памяти SMM (System Management Module), приводящим к выполнению произвольного кода. SMM является частью микропрограммы UEFI, которая обеспечивает общесистемные функции, такие как низкоуровневое управление оборудованием и питанием.

Привилегии подсистемы SMM превышают привилегии ядра ОС, поэтому недостатки SMM могут сделать недействительными функции безопасности и дать возможность злоумышленнику создать скрытый бэкдор и установить вредоносное ПО.

Вот 6 уязвимостей, которые, по словам Binarly, HP не исправляла в течение нескольких месяцев:

HP выпустила 3 рекомендации по безопасности, в которых описала эти уязвимости, а также 3 обновлений BIOS [ 1 , 2 , 3 ], устраняющих проблемы для некоторых уязвимых моделей.

Однако, серии ноутбуков (Elite, Zbook, ProBook) и настольных ПК (ProDesk, EliteDesk, ProOne), системы торговых точек, а также рабочие станции HP (Z1, Z2, Z4, Zcentral) еще не получили исправления.

Как отмечает Binarly, исправление недостатков встроенного ПО очень сложно для HP из-за сложности цепочки поставок встроенного ПО, поэтому многим клиентам HP придется самостоятельно усилить меры безопасности.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 254 дня 11 часов 33 минуты 45 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.