HP-Rechner: Sechs Firmware-Schwachstellen seit einem Jahr ungepatcht

Publiziert am 13. September 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]In der Firmware von HP-Systemen für den Business-Bereich (Notebooks, Desktops etc.) gibt es sechs gravierende Schwachstellen, die seit einem Jahr nicht durch Updates behoben wurden. Bei einigen HP-Enterprise-Systemen gibt es bis heute keine Firmware-Updates, obwohl diese seit einem Monat öffentlich bekannt sind. Das schreibt das Sicherheitsteam von Binarly, welches einige dieser Schwachstellen in HP EliteBooks auf der Black Hat 2022 Konferenz besprochen hat.

Anzeige

HP EliteBooks sind ja nicht ganz preiswerte Notebooks, die speziell für den geschäftlichen Einsatz in Unternehmensumgebungen angeboten wurden. Aber es gibt von HP ja auch Desktop-Systeme für den Business-Einsatz. Hier hätte ich erwartet, dass die Firma HP auf bekannt gewordene Schwachstellen zeitnah reagiert und diese schließt.

 

HP EliteBook
HP EliteBook 845, Quelle: HP

Es sieht aber so aus, als ob das nicht der Fall ist – denn der Sicherheitsanbieter Binarly schreibt im Blog-Beitrag Binarly Finds Six High Severity Firmware Vulnerabilities In HP Enterprise Devices, dass HP da gepatzt habe. Selbst einem Monat nachdem die Schwachstellen öffentlich bekannt wurden, haben einige HP-Unternehmensgeräte noch immer keine Updates erhalten.

6 Schwachstellen in der Firmware

Binarly Sicherheitsforscher haben sechs gravierende Schwachstellen in diversen HP-Produktlinien gefunden und diese dann an HP weitergegeben. Die Schwachstellen ermöglichen die Ausführung von beliebigem Code im Zusammenhang mit dem System Management Mode (SMM). Nachfolgend sind die betreffenden Schwachstellen mit ihrem CVSSS-Score angegeben.

HP devices: SMM Memory Corruption Vulnerabilities

Das HP PSIRT-Team hat zum 11. August 2022 die Sicherheitswarnung HPSBHF03806 (HP PC BIOS August 2022 Additional Updates for Potential SMM and TOCTOU Vulnerabilities) dazu veröffentlicht. Dort heißt es, dass im System-BIOS bestimmter HP PC-Produkte potenzielle Sicherheitslücken entdeckt wurden. Die Schwachstellen ermöglichen die Ausführung von beliebigem Code, die Ausweitung von Berechtigungen, die Verweigerung von Diensten und die Offenlegung von Informationen.

HP hat für einen Teil der betroffenen Geräte BIOS-Updates veröffentlicht, um diese potenziellen Schwachstellen zu beseitigen. Allerdings steht der Status der Firmware-Updates für eine Reihe Geräte noch auf "pending", d.h. es ist kein Update verfügbar. Die Liste der betroffenen Geräte (HP Elite, HP Zx etc)) sowie die Download-Links der verfügbaren Firmware-Updates lassen sich in der obigen verlinkten Sicherheitswarnung HPSBHF03806 nachlesen. (via)

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.