HP 未修复的固件安全漏洞

关键要点

• HP 首先披露的六个 firmware 安全漏洞仍未修复，影响部分企业笔记本设备。
• 这些高危漏洞可能导致以最高权限执行任意代码。
• 漏洞的报告时间均集中在 2021 年和 2022 年。
• Binarly 研究人员指出固件供应链的复杂性增加了修复的难度。

根据 的报道，HP在其部分企业笔记本设备中，存在六个固件安全漏洞尚未修复，尽管这些漏洞早在几个月前就已公开披露。受影响的 HP EliteBook设备出现了高严重性的漏洞，这些漏洞源于基于固件的系统管理模式的内存损坏，可能被利用以最高权限执行任意代码，Binarly 研究人员对此进行了报道。

HP 于 2021 年 7 月已被告知与 CVE-2022-23930 相关的堆栈缓冲区溢出漏洞，以及在输入验证方面的问题，分别跟踪为 CVE-2022-31640 和 CVE-2022-31641，而与越界写入漏洞相关的 CVE-2022-31644、CVE-2022-31645 和 CVE-2022-31646 则是在 2022 年 4 月报告的，但 HP 只在 3 月和 8 月发布了一些措施。

“在许多情况下，固件是供应链所有层之间的单一故障点...由于固件供应链的复杂性，制造端存在难以解决的漏洞，因为这涉及到超出设备厂商控制范围的问题，”Binarly 表示。

这一系列漏洞的存在，使得 HP EliteBook 用户面临潜在的安全风险，防护措施的滞后让人深感担忧。适时的修复和更新固件是确保设备安全的关键。