惠普设备中的严重漏洞连续数月未打补丁

卞艳翔
导读 多个影响惠普商用笔记本电脑的高危漏洞(在新标签中打开),商务台式电脑(在新标签中打开)、销售点系统和工作站(在新标签中打开),研究人员警

多个影响惠普商用笔记本电脑的高危漏洞(在新标签中打开),商务台式电脑(在新标签中打开)、销售点系统和工作站(在新标签中打开),研究人员警告说,已经连续几个月没有打补丁。

这可能意味着无数HP用户面临端点损坏、文件被盗或数字帐户被盗的风险,因为发现的所有缺陷都允许任意代码执行。

此外,专家警告说,由于固件中存在缺陷,即使重新安装操作系统后它们仍然存在。

据Binarly称,该公司共发现了6个漏洞——2021年7月的3个和2022年4月的另外3个,所有这些都是系统管理模块(SMM)内存损坏漏洞。

这些漏洞被跟踪为CVE-2022-23930(8.2)、CVE-2022-31644(7.5)、CVE-2022-31645(8.2)、CVE-2022-31646(8.2)、CVE-2022-31640(7.5)、和CVE-2022-31641(7.5)。

自披露以来,惠普针对其中三个漏洞发布了三个安全公告,并推送了三个BIOS更新,修复了部分机型的漏洞。

但是,该公司未能为Elite、Zbook或ProBook系列以及ProDesk、EliteDesk和ProOne系列的设备发布任何补丁。惠普工作站,包括Z1、Z2、Z4和Zcentral,也仍然容易受到这些漏洞的影响。

>惠普最烦人的过时软件存在严重的安全漏洞>您的惠普打印机可能面临严重网络攻击的风险>目前最好的云备份

尽管Binarly警告了没有针对这些缺陷的补丁的潜在风险,但该公司确实强调了为单个供应商修复漏洞所带来的困难。

“由于固件供应链的复杂性,制造端存在难以弥补的差距,因为它涉及设备供应商无法控制的问题,”它在报告中表示。

TechRadarPro已联系惠普,就其计划何时发布受影响设备的修复程序发表评论,如果我们收到回复,将更新文章。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!