HP企业设备数月前的固件漏洞尚无补丁 媒体
HP 未修复的固件安全漏洞
关键要点
HP 首先披露的六个 firmware 安全漏洞仍未修复,影响部分企业笔记本设备。这些高危漏洞可能导致以最高权限执行任意代码。漏洞的报告时间均集中在 2021 年和 2022 年。Binarly 研究人员指出固件供应链的复杂性增加了修复的难度。根据 The Hacker News 的报道,HP 在其部分企业笔记本设备中,存在六个固件安全漏洞尚未修复,尽管这些漏洞早在几个月前就已公开披露。受影响的 HP EliteBook 设备出现了高严重性的漏洞,这些漏洞源于基于固件的系统管理模式的内存损坏,可能被利用以最高权限执行任意代码,Binarly 研究人员对此进行了报道。
HP 于 2021 年 7 月已被告知与 CVE202223930 相关的堆栈缓冲区溢出漏洞,以及在输入验证方面的问题,分别跟踪为 CVE202231640 和 CVE202231641,而与越界写入漏洞相关的 CVE202231644、CVE202231645 和 CVE202231646 则是在 2022 年 4 月报告的,但 HP 只在 3 月和 8 月发布了一些措施。
免费加速器不用实名认证下载“在许多情况下,固件是供应链所有层之间的单一故障点由于固件供应链的复杂性,制造端存在难以解决的漏洞,因为这涉及到超出设备厂商控制范围的问题,”Binarly 表示。
漏洞名称漏洞类型报告时间CVE 编号溢出漏洞堆栈缓冲区溢出2021 年 7 月CVE202223930验证问题输入验证漏洞2021 年 7 月CVE202231640、CVE202231641越界写入越界写入漏洞2022 年 4 月CVE202231644、CVE202231645、CVE202231646这一系列漏洞的存在,使得 HP EliteBook 用户面临潜在的安全风险,防护措施的滞后让人深感担忧。适时的修复和更新固件是确保设备安全的关键。