Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm được báo cáo

Công ty bảo mật đã thông báo cho HP về lỗ hổng firmware này vào tháng 7 năm 2021 và tháng 4 năm 2022.

Một loạt thiết bị của HP chạy trong môi trường doanh nghiệp chứa tới sáu lỗ hổng bảo mật trong firmware nhưng vẫn chưa được vá, tuy đã được tiết lộ công khai từ tháng 7/2021.

Tại hội nghị Black Hat 2022 vào tháng trước, công ty bảo mật doanh nghiệp Binarly đã tiết lộ sáu lỗ hổng được theo dõi trong một số dòng sản phẩm của HP, bao gồm cả EliteBooks

Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ

Những lỗ hổng này cho phép tin tặc lây nhiễm mã độc lên thiết bị, giúp mã độc có thể tồn tại lâu dài trên hệ thông. Đây là lý do tại sao các lỗ hổng này được coi là mối nguy hiểm được đánh giá cao.

Binarly cho biết các phát hiện gần đây đều là vấn đề hỏng bộ nhớ SMM (System Management Module) dẫn tới thực thi code tùy ý. Sáu lỗ hổng này nằm trong số 16 mối đe dọa có mức độ nghiêm trọng cao mà Binary đã tiết lộ tại hội nghị. Các nhà phát triển tại HP đã vá 10 bản trong số đó, nhưng những bản còn lại bị "bỏ quên". Hơn nữa, các lỗi này không hoàn toàn mới, các nhà nghiên cứu đã phát hiện ra ba bản vào tháng 7 năm 2021 và ba bản vào tháng 4 năm nay.

Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ

Sáu lỗ hổng mà Binarly cho biết HP đã không vá trong nhiều tháng gồm:

  • CVE-2022-23930: Tràn bộ đệm dựa trên ngăn xếp dẫn tới thực thi code tùy ý, điểm CVSS 8.2.
  • CVE-2022-31644: Ghi ngoài giới hạn trên CommBuffer, cho phép bỏ qua một phần xác thực điểm CVSS 7.5.
  • CVE-2022-31645: Ghi ngoài giới hạn dựa trên việc không kiểm tra kích thước của con trỏ được gửi đến trình xử lý SMI, điểm CVSS 8.2.
  • CVE-2022-31646: Ghi ngoài giới hạn dựa trên chức năng API thao tác bộ nhớ trực tiếp, dẫn tới nâng cao đặc quyền và thực thi code tùy ý, điểm CVSS 8.2
  • CVE-2022-31640: Xác thực đầu vào không phù hợp cho phép hacker kiểm soát dữ liệu CommBuffer và mở đường dẫn đến các sửa đổi không hạn chế, điểm CVSS 7.5.
  • CVE-2022-31641: Lỗ hổng chú thích trong quá trình xử lý SMI dẫn tới thực thi code tùy ý, điểm CVSS 7.5.

Theo nhận xét của Binarly, việc vá lỗ hổng trên firmware là rất khó khăn do sự phức tạp của chuỗi cung ứng phần mềm. Do đó, nhiều khách hàng của HP sẽ phải chấp nhận rủi ro và tự tăng cường các biện pháp bảo mật vật lý.

 

Bài liên quan

Bài đọc nhiều nhất

Bài mới trong ngày

Hiện tượng lạ: Anime "Chainsmoker Cat" tạo nên làn sóng "cai thuốc lá" chấn động cộng đồng mạng quốc tế

Hiện tượng lạ: Anime "Chainsmoker Cat" tạo nên làn sóng "cai thuốc lá" chấn động cộng đồng mạng quốc tế

hoanlagvnDũng Nhỏ TT

Ngay sau khi tập đầu tiên của bộ anime truyền hình mới "Chainsmoker Cat" chính thức trình làng, một hiện tượng vô tiền khoáng hậu đã diễn ra trên không gian mạng. Thay vì chạy theo xu hướng lãng mạn hóa làn khói, tác phẩm lại vô tình kích hoạt một trào lưu quyết tâm "cai thuốc lá" đang lan rộng với tốc độ chóng mặt trên khắp các nền tảng mạng xã hội lớn như X (Twitter) và chuyên trang thảo luận toàn cầu Reddit.

Giải trí
Cú lột xác ngoạn mục: Nữ Streamer Beamori Yurumo "dọn sạch" căn phòng ngập rác, tự viết nên màn tái sinh đời thực

Cú lột xác ngoạn mục: Nữ Streamer Beamori Yurumo "dọn sạch" căn phòng ngập rác, tự viết nên màn tái sinh đời thực

hoanlagvnDũng Nhỏ TT

Beamori Yurumo — nữ streamer nổi tiếng xứ sở hoa anh đào, người từng "gây bão" mạng xã hội với những buổi phát sóng trực tiếp ngay giữa không gian ngập rác — vừa khiến cộng đồng người hâm mộ vỡ òa khi công bố một diện mạo hoàn toàn mới. Bằng việc dũng cảm dọn dẹp sạch sẽ căn phòng rác, cắt phăng mái tóc cũ và thiết lập một lối sống lành mạnh, cô đã tạo nên một màn bứt phá ngoạn mục, truyền cảm hứng mạnh mẽ về hành trình vượt qua khủng hoảng tinh thần.

Giải trí
Lên đầu trang