Multe vulnerabilități de mare severitate care afectează un număr de notebook-uri HP de afaceri, PC-uri desktop de afaceri, sisteme de puncte de vânzare și stații de lucru , au rămas fără corecție de luni de zile, au avertizat cercetătorii.
Acest lucru ar putea însemna că mulți utilizatori HP riscă să li se spargă punctele finale, să le fie furate fișierele sau să le fie compromise conturile digitale, deoarece toate defectele găsite permit executarea arbitrară a unui cod.
Mai mult, deoarece defectele sunt în firmware, acestea pot persista chiar și după reinstalarea sistemului de operare, au avertizat experții.
Potrivit Binarly, compania a găsit un total de șase vulnerabilități – trei în iulie 2021 și alte trei în aprilie 2022, toate fiind vulnerabilități de corupție a memoriei System Management Module (SMM).
Defectele sunt urmărite ca CVE-2022-23930 (8.2), CVE-2022-31644 (7.5), CVE-2022-31645 (8.2), CVE-2022-31646 (8.2), CVE-2022-31640 (7.5), și CVE-2022-31641 (7,5).
De la dezvăluire, HP a publicat trei avertismente de securitate pentru trei dintre defecte și a lansat trei actualizări BIOS, reparând defectele pe unele dintre modele.
Cu toate acestea, compania nu a reușit să lanseze niciun patch pentru dispozitivele din seria Elite, Zbook sau ProBook, precum și pentru seria ProDesk, EliteDesk și ProOne. Stațiile de lucru HP, inclusiv Z1, Z2, Z4 și Zcentral, sunt, de asemenea, vulnerabile la defecțiuni.
Chiar dacă Binarly a avertizat despre riscul potențial asociat cu lipsa de patch-uri pentru aceste defecte, compania a subliniat dificultățile care vin cu remedierea vulnerabilităților pentru un singur furnizor.
„Ca urmare a complexității lanțului de aprovizionare cu firmware, există lacune care sunt greu de eliminat în ceea ce privește producția, deoarece implică probleme care nu pot fi controlate de furnizorii de dispozitive”, se spune în raport.