Несколько уязвимостей высокой степени серьезности, затрагивающих ряд бизнес-ноутбуков HP. (откроется в новой вкладке)настольные ПК для бизнеса (откроется в новой вкладке)системы торговых точек и рабочие станции (откроется в новой вкладке)месяцами не исправлялись, предупреждают исследователи.
Это может означать, что бесчисленное количество пользователей HP рискует сломать свои конечные точки, украсть их файлы или скомпрометировать свои цифровые учетные записи, поскольку все обнаруженные недостатки допускают выполнение произвольного кода.
Более того, поскольку недостатки находятся в прошивке, они могут сохраняться даже после переустановки операционной системы, предупреждают эксперты.
Частичное исправление
По данным Binarly, компания обнаружила в общей сложности шесть уязвимостей — три в июле 2021 года и еще три в апреле 2022 года, и все они связаны с повреждением памяти модуля управления системой (SMM).
Недостатки отслеживаются как CVE-2022-23930 (8.2), CVE-2022-31644 (7.5), CVE-2022-31645 (8.2), CVE-2022-31646 (8.2), CVE-2022-31640 (7.5), и CVE-2022-31641 (7.5).
С момента раскрытия информации HP опубликовала три рекомендации по безопасности для трех недостатков и выпустила три обновления BIOS, исправив недостатки на некоторых моделях.
Однако компания не выпустила никаких исправлений для устройств серий Elite, Zbook или ProBook, а также для серий ProDesk, EliteDesk и ProOne. Рабочие станции HP, в том числе Z1, Z2, Z4 и Zcentral, также по-прежнему уязвимы для недостатков.
Несмотря на то, что Binarly предупредила о потенциальном риске, связанном с отсутствием исправлений для этих недостатков, компания подчеркнула трудности, связанные с исправлением уязвимостей для одного поставщика.
«Из-за сложности цепочки поставок микропрограммного обеспечения существуют пробелы, которые трудно устранить на производственной стороне, поскольку это связано с проблемами, не зависящими от поставщиков устройств», — говорится в отчете компании.
TechRadar Pro обратился к HP за комментарием относительно того, когда компания планирует выпустить исправления для затронутых устройств, и обновит статью, если мы получим ответ.
С помощью: BleepingКомпьютер (откроется в новой вкладке)