Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm được báo cáo

Công ty bảo mật đã thông báo cho HP về lỗ hổng firmware này vào tháng 7 năm 2021 và tháng 4 năm 2022.

Một loạt thiết bị của HP chạy trong môi trường doanh nghiệp chứa tới sáu lỗ hổng bảo mật trong firmware nhưng vẫn chưa được vá, tuy đã được tiết lộ công khai từ tháng 7/2021.

Tại hội nghị Black Hat 2022 vào tháng trước, công ty bảo mật doanh nghiệp Binarly đã tiết lộ sáu lỗ hổng được theo dõi trong một số dòng sản phẩm của HP, bao gồm cả EliteBooks

Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ

Những lỗ hổng này cho phép tin tặc lây nhiễm mã độc lên thiết bị, giúp mã độc có thể tồn tại lâu dài trên hệ thông. Đây là lý do tại sao các lỗ hổng này được coi là mối nguy hiểm được đánh giá cao.

Binarly cho biết các phát hiện gần đây đều là vấn đề hỏng bộ nhớ SMM (System Management Module) dẫn tới thực thi code tùy ý. Sáu lỗ hổng này nằm trong số 16 mối đe dọa có mức độ nghiêm trọng cao mà Binary đã tiết lộ tại hội nghị. Các nhà phát triển tại HP đã vá 10 bản trong số đó, nhưng những bản còn lại bị "bỏ quên". Hơn nữa, các lỗi này không hoàn toàn mới, các nhà nghiên cứu đã phát hiện ra ba bản vào tháng 7 năm 2021 và ba bản vào tháng 4 năm nay.

Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ

Sáu lỗ hổng mà Binarly cho biết HP đã không vá trong nhiều tháng gồm:

  • CVE-2022-23930: Tràn bộ đệm dựa trên ngăn xếp dẫn tới thực thi code tùy ý, điểm CVSS 8.2.
  • CVE-2022-31644: Ghi ngoài giới hạn trên CommBuffer, cho phép bỏ qua một phần xác thực điểm CVSS 7.5.
  • CVE-2022-31645: Ghi ngoài giới hạn dựa trên việc không kiểm tra kích thước của con trỏ được gửi đến trình xử lý SMI, điểm CVSS 8.2.
  • CVE-2022-31646: Ghi ngoài giới hạn dựa trên chức năng API thao tác bộ nhớ trực tiếp, dẫn tới nâng cao đặc quyền và thực thi code tùy ý, điểm CVSS 8.2
  • CVE-2022-31640: Xác thực đầu vào không phù hợp cho phép hacker kiểm soát dữ liệu CommBuffer và mở đường dẫn đến các sửa đổi không hạn chế, điểm CVSS 7.5.
  • CVE-2022-31641: Lỗ hổng chú thích trong quá trình xử lý SMI dẫn tới thực thi code tùy ý, điểm CVSS 7.5.

Theo nhận xét của Binarly, việc vá lỗ hổng trên firmware là rất khó khăn do sự phức tạp của chuỗi cung ứng phần mềm. Do đó, nhiều khách hàng của HP sẽ phải chấp nhận rủi ro và tự tăng cường các biện pháp bảo mật vật lý.

 

Bài liên quan

Bài đọc nhiều nhất

Bài mới trong ngày

The Conjuring: Hồi Chuông Khép Lại Một Tượng Đài Kinh Dị

The Conjuring: Hồi Chuông Khép Lại Một Tượng Đài Kinh Dị

Nguyễn Võ Bảo PhươngQuỳnh

Sau hơn một thập kỷ gieo rắc nỗi sợ hãi và tạo nên một vũ trụ điện ảnh đầy ám ảnh, The Conjuring đang đi đến những bước cuối cùng. Từng là biểu tượng của dòng phim kinh dị hiện đại, hành trình của vũ trụ The Conjuring giờ đây đang khép lại trong không khí vừa lặng lẽ vừa đầy tiếc nuối.

Phim Ảnh
Chi Tiết Nhân Vật Trong Bộ Phim SGT. ROCK Được Tiết Lộ Với Sự Góp Mặt Của Nhiều Ngôi Sao Như Cillian Murphy

Chi Tiết Nhân Vật Trong Bộ Phim SGT. ROCK Được Tiết Lộ Với Sự Góp Mặt Của Nhiều Ngôi Sao Như Cillian Murphy

Nguyễn Võ Bảo PhươngQuỳnh

Mới đây, các thông tin mới đã được tiết lộ về những nhân vật trong bộ phim Sgt. Rock của DC Comics, bao gồm danh sách các thành viên trong đội Easy Company, cùng với những cái tên lớn như Cillian Murphy và Mikey Madison, những người đã được mời tham gia các vai chính.

Phim Ảnh
Lên đầu trang