Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm được báo cáo

Công ty bảo mật đã thông báo cho HP về lỗ hổng firmware này vào tháng 7 năm 2021 và tháng 4 năm 2022.

Một loạt thiết bị của HP chạy trong môi trường doanh nghiệp chứa tới sáu lỗ hổng bảo mật trong firmware nhưng vẫn chưa được vá, tuy đã được tiết lộ công khai từ tháng 7/2021.

Tại hội nghị Black Hat 2022 vào tháng trước, công ty bảo mật doanh nghiệp Binarly đã tiết lộ sáu lỗ hổng được theo dõi trong một số dòng sản phẩm của HP, bao gồm cả EliteBooks

Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ

Những lỗ hổng này cho phép tin tặc lây nhiễm mã độc lên thiết bị, giúp mã độc có thể tồn tại lâu dài trên hệ thông. Đây là lý do tại sao các lỗ hổng này được coi là mối nguy hiểm được đánh giá cao.

Binarly cho biết các phát hiện gần đây đều là vấn đề hỏng bộ nhớ SMM (System Management Module) dẫn tới thực thi code tùy ý. Sáu lỗ hổng này nằm trong số 16 mối đe dọa có mức độ nghiêm trọng cao mà Binary đã tiết lộ tại hội nghị. Các nhà phát triển tại HP đã vá 10 bản trong số đó, nhưng những bản còn lại bị "bỏ quên". Hơn nữa, các lỗi này không hoàn toàn mới, các nhà nghiên cứu đã phát hiện ra ba bản vào tháng 7 năm 2021 và ba bản vào tháng 4 năm nay.

Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ

Sáu lỗ hổng mà Binarly cho biết HP đã không vá trong nhiều tháng gồm:

  • CVE-2022-23930: Tràn bộ đệm dựa trên ngăn xếp dẫn tới thực thi code tùy ý, điểm CVSS 8.2.
  • CVE-2022-31644: Ghi ngoài giới hạn trên CommBuffer, cho phép bỏ qua một phần xác thực điểm CVSS 7.5.
  • CVE-2022-31645: Ghi ngoài giới hạn dựa trên việc không kiểm tra kích thước của con trỏ được gửi đến trình xử lý SMI, điểm CVSS 8.2.
  • CVE-2022-31646: Ghi ngoài giới hạn dựa trên chức năng API thao tác bộ nhớ trực tiếp, dẫn tới nâng cao đặc quyền và thực thi code tùy ý, điểm CVSS 8.2
  • CVE-2022-31640: Xác thực đầu vào không phù hợp cho phép hacker kiểm soát dữ liệu CommBuffer và mở đường dẫn đến các sửa đổi không hạn chế, điểm CVSS 7.5.
  • CVE-2022-31641: Lỗ hổng chú thích trong quá trình xử lý SMI dẫn tới thực thi code tùy ý, điểm CVSS 7.5.

Theo nhận xét của Binarly, việc vá lỗ hổng trên firmware là rất khó khăn do sự phức tạp của chuỗi cung ứng phần mềm. Do đó, nhiều khách hàng của HP sẽ phải chấp nhận rủi ro và tự tăng cường các biện pháp bảo mật vật lý.

 

Bài viết liên quan

Bài viết đọc nhiều nhất

Bài viết mới trong ngày

Hậu trường siêu lầy lội: Seiyuu Chainsmoker Cat tự vỗ mông tại phòng thu để tạo âm thanh chân thực

Hậu trường siêu lầy lội: Seiyuu Chainsmoker Cat tự vỗ mông tại phòng thu để tạo âm thanh chân thực

hoanlagvn

Một câu chuyện hậu trường vô cùng hài hước và độc lạ vừa được phơi bày, khiến cộng đồng người hâm mộ sê-ri anime đang gây bão "Chainsmoker Cat" (Yani Neko) được một phen cười nghiêng ngả. Nam diễn viên lồng tiếng gạo cội Inada Tetsu vừa chính thức lên tiếng xác nhận một sự thật ngỡ ngàng: Hiệu ứng âm thanh "vỗ mông" đầy chân thực trong tập 3 của bộ phim hoàn toàn do chính anh tự tay... thực hiện trên cơ thể mình ngay trước micro.

Giải trí
Spotify xóa 75 triệu bài hát AI trong một năm, ngành công nghiệp âm nhạc bắt đầu "dán nhãn AI

Spotify xóa 75 triệu bài hát AI trong một năm, ngành công nghiệp âm nhạc bắt đầu "dán nhãn AI

quân

Làn sóng âm nhạc do AI tạo ra đang bùng nổ với tốc độ chưa từng có, buộc Spotify và các tổ chức âm nhạc lớn trên thế giới phải triển khai những biện pháp mạnh tay nhằm ngăn chặn nội dung rác và bảo vệ các nghệ sĩ. Chỉ trong năm 2025, Spotify đã xóa tới 75 triệu bài hát được tạo bằng AI vì vi phạm các tiêu chuẩn của nền tảng.

Công Nghệ
Bản lĩnh của "Cụ tổ" Isekai: Tác giả Mushoku Tensei tuyên bố phớt lờ mọi chỉ trích, kiên định viết theo ý mình

Bản lĩnh của "Cụ tổ" Isekai: Tác giả Mushoku Tensei tuyên bố phớt lờ mọi chỉ trích, kiên định viết theo ý mình

hoanlagvn

Sự trở lại đầy hứa hẹn của mùa 3 bom tấn anime "Mushoku Tensei" (Thất nghiệp chuyển sinh) gần đây đã lập tức kéo theo một làn sóng thảo luận sôi nổi trên khắp các diễn đàn toàn cầu. Giữa tâm điểm của những tranh cãi vốn đã gắn liền với thương hiệu này suốt nhiều năm qua, tác giả Rifujin na Magonote đã có màn đáp trả thẳng thắn, khẳng định ông vẫn sẽ tiếp tục sáng tác theo cách mình mong muốn và tuyệt đối không để những bình luận tiêu cực làm lung lay ngòi bút.

Giải trí
Lên đầu trang