Mehrere Sicherheitslücken mit hohem Schweregrad, die eine Reihe von HP Business-Notebooks betreffen (öffnet in neuem Tab)Business-Desktop-PCs (öffnet in neuem Tab)Point-of-Sale-Systeme und Workstations (öffnet in neuem Tab)sitzen seit Monaten ungepatcht herum, haben Forscher gewarnt.
Dies könnte bedeuten, dass unzählige HP-Benutzer dem Risiko ausgesetzt sind, dass ihre Endpunkte beschädigt, ihre Dateien gestohlen oder ihre digitalen Konten kompromittiert werden, da alle gefundenen Fehler die Ausführung willkürlichen Codes ermöglichen.
Da die Fehler in der Firmware liegen, können sie auch nach einer Neuinstallation des Betriebssystems bestehen bleiben, warnen Experten.
Teilweise behoben
Laut Binarly hat das Unternehmen insgesamt sechs Sicherheitslücken gefunden – drei im Juli 2021 und drei weitere im April 2022, die alle Sicherheitslücken im System Management Module (SMM) zur Speicherbeschädigung sind.
Die Fehler werden verfolgt als CVE-2022-23930 (8.2), CVE-2022-31644 (7.5), CVE-2022-31645 (8.2), CVE-2022-31646 (8.2), CVE-2022-31640 (7.5), und CVE-2022-31641 (7.5).
Seit der Offenlegung hat HP drei Sicherheitshinweise für drei der Fehler veröffentlicht und drei BIOS-Updates veröffentlicht, um die Fehler bei einigen Modellen zu beheben.
Das Unternehmen hat jedoch keine Patches für die Geräte der Serien Elite, Zbook oder ProBook sowie für die Serien ProDesk, EliteDesk und ProOne veröffentlicht. HP-Workstations, einschließlich Z1, Z2, Z4 und Zcentral, sind ebenfalls noch anfällig für die Fehler.
Obwohl Binarly vor dem potenziellen Risiko warnte, keine Patches für diese Fehler zu haben, betonte das Unternehmen die Schwierigkeiten, die mit der Behebung von Schwachstellen für einen einzelnen Anbieter verbunden sind.
„Aufgrund der Komplexität der Firmware-Lieferkette gibt es Lücken, die auf der Herstellungsseite schwer zu schließen sind, da es um Probleme geht, die außerhalb der Kontrolle der Gerätehersteller liegen“, heißt es in seinem Bericht.
TechRadar Pro hat HP um einen Kommentar dazu gebeten, wann Fixes für die betroffenen Geräte veröffentlicht werden sollen, und wird den Artikel aktualisieren, wenn wir eine Antwort erhalten.
Über: Piepender Computer (öffnet in neuem Tab)