聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
固件漏洞尤為危險,因為它們可導致惡意軟件感染,而這種感染甚至在操作系統重裝過程中仍然持久存在,或者可導致長久攻陷,導致無法觸發標準安全工具。
Binarly 公司在報告中強調稱,即使距離他們在2022年黑客大會上披露了其中一些缺陷已過去一個月的時間,但惠普仍未向所有受影響機型發布安全更新,導致很多客戶被暴露到攻擊中。
安全研究人員在2021年7月報告了三個漏洞,並在2022年4月報告了其它三個漏洞,因此惠普未向所有受影響設備推送更新的時間已達到四個月到一年多的時間不等。
Binarly 公司的安全研究員最近發現的漏洞都是SMM內存損壞漏洞,可導致任意代碼執行後果。SMM是UEFI固件的一部分,可提供系統功能如底層硬件控制和電源管理等。
SMM子系統的權限超過了操作系統內核的權限,因此影響SMM的缺陷可導致安全特性如 Secure Boot (安全啟動)等不合法、(為受害者)創建不可見的後門、並導致入侵者安裝永久性惡意軟件植入等。
Binarly 安全研究員發布的惠普未修復缺陷如下:
CVE-2022-23930——可導致任意代碼執行後果的棧緩衝區溢出(CVSSv3評分8.2,「高危」)
CVE-2022-31644——CommBuffer 上的界外寫漏洞,可導致部分驗證繞過(CVSSv3評分7.5,「高危」)
CVE-2022-31645——因未檢查發送給SMI句柄的指針大小而導致的CommBuffer 上的界外寫(CVSSv3評分8.2,「高危」)
CVE-2022-31636——機遇直接內存操控API功能的界外寫,可導致提權和任意代碼執行(CVSSv3評分8.2,「高危」)
CVE-2022-31640——輸入驗證不當,可導致攻擊者控制CommBuffer數據並開放不受限制修改路徑(CVSSv3評分7.5,「高危」)
CVE-2022-31641——SMI句柄中的調用漏洞,可導致任意代碼執行(CVSSv3評分7.5,「高危」)
惠普已經發布三份安全公告,證實以上漏洞存在,並且還發布了三份BIOS更新,修復其中一些受影響機型。
CVE-2022-23930在2022年3月所有受影響系統中均已修復,除瘦客戶端PC外。CVE-2022-31644、CVE-2022-31645和CVE-2022-31646在2022年8月9日收到了安全更新。
然而,很多商務筆記本個人電腦(Elite、Zbook和ProBook)、上午桌面個人電腦(ProDesk、EliteDesk、ProOne)、銷售點系統以及惠普工作站(Z1、Z2、Z4、Zcentral)尚未收到任何補丁。
CVE-2022-31640和CVE-2022-31641在8月收到了修複方案,最新更新是在2022年9月,但很多虎撲工作站仍然遭暴露且不存在官方修複方案。
如同Binarly 的研究人員所評論的那樣,對於單個廠商而言,修復固件缺陷非常難,因為固件供應鏈複雜度高,因此很多惠普客戶不得不接受這種風險並增加物理安全措施。
目前惠普公司並未說明餘下的受影響機型何時將收到安全更新。
https://www.bleepingcomputer.com/news/security/firmware-bugs-in-many-hp-computer-models-left-unfixed-for-over-a-year/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表