HP Enterprise ürünlerini etkileyen altı adet yüksek önem düzeyine sahip Firmware zafiyeti hala etkinliğini koruyor ve HP bu zafiyetler için henüz bir güncelleme yayınlanmış değil.
Araştırmacılar HP’ye Temmuz 2021’de üç zafiyet ve Nisan 2022’de diğer üç zafiyet bildirdiler ancak o zamandan bu zaman bir güncelleme yayınlanmadı. Zafiyet SMM’de bulunuyor, SMM düşük seviyeli donanım kontrolü ve güç yönetimi gibi sistem çapında işlevler sağlayan UEFI sabit yazılımının bir parçası.
HPE’nin düzeltmediği güncellemler aşağıdaki gibi:
- CVE-2022-23930 – Stack-based buffer overflow leading to arbitrary code execution. (CVSS v3 score: 8.2 “High”)
- CVE-2022-31644 – Out-of-bounds write on CommBuffer, allowing partial validation bypassing. (CVSS v3 score: 7.5 “High”)
- CVE-2022-31645 – Out-of-bounds write on CommBuffer based on not checking the size of the pointer sent to the SMI handler. (CVSS v3 score: 8.2 “High”)
- CVE-2022-31646 – Out-of-bounds write based on direct memory manipulation API functionality, leading to privilege elevation and arbitrary code execution. (CVSS v3 score: 8.2 “High”)
- CVE-2022-31640 – Improper input validation giving attackers control of the CommBuffer data and opening the path to unrestricted modifications. (CVSS v3 score: 7.5 “High”)
- CVE-2022-31641 – Callout vulnerability in the SMI handler leading to arbitrary code execution. (CVSS v3 score: 7.5 “High”)
HP, etkilenen bazı modellerin için BIOS güncellemesi yayımladı. CVE-2022-23930 zafiyeti Mart 2022’de düzeltildi ( ayrıntılar için danışma belgesine bakın ). CVE-2022-31644, CVE-2022-31645 ve CVE-2022-31646 zafiyetler 9 Ağustos 2022’de güvenlik güncellemeleri aldı. Ancak, birçok iş dizüstü bilgisayarı (Elite, Zbook, ProBook), iş masaüstü bilgisayarları (ProDesk, EliteDesk, ProOne) ve HP iş istasyonları (Z1, Z2, Z4, Zcentral) henüz yama almış değil. CVE-2022-31640 ve CVE-2022-31641 son güncellemeyi 7 Eylül 2022’de yapılacak şekilde Ağustos ayı boyunca güncellemeler yayınladı. Ancak birçok HP iş istasyonu hala güncelleme almış değil.
Kaynak: bleepingcomputer.com