Haberler

Zafiyet İçeren Firmware’ler HP Ürünlerini Etkiliyor

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 11/09/2022
0 1 dakika okuma süresi

HP Enterprise ürünlerini etkileyen altı adet yüksek önem düzeyine sahip Firmware zafiyeti hala etkinliğini koruyor ve HP bu zafiyetler için henüz bir güncelleme yayınlanmış değil.

Araştırmacılar HP’ye Temmuz 2021’de üç zafiyet ve Nisan 2022’de diğer üç zafiyet bildirdiler ancak o zamandan bu zaman bir güncelleme yayınlanmadı. Zafiyet SMM’de bulunuyor, SMM düşük seviyeli donanım kontrolü ve güç yönetimi gibi sistem çapında işlevler sağlayan UEFI sabit yazılımının bir parçası.

HPE’nin düzeltmediği güncellemler aşağıdaki gibi:

  • CVE-2022-23930 – Stack-based buffer overflow leading to arbitrary code execution. (CVSS v3 score: 8.2 “High”)
  • CVE-2022-31644 – Out-of-bounds write on CommBuffer, allowing partial validation bypassing. (CVSS v3 score: 7.5 “High”)
  • CVE-2022-31645 – Out-of-bounds write on CommBuffer based on not checking the size of the pointer sent to the SMI handler. (CVSS v3 score: 8.2 “High”)
  • CVE-2022-31646 – Out-of-bounds write based on direct memory manipulation API functionality, leading to privilege elevation and arbitrary code execution. (CVSS v3 score: 8.2 “High”)
  • CVE-2022-31640 – Improper input validation giving attackers control of the CommBuffer data and opening the path to unrestricted modifications. (CVSS v3 score: 7.5 “High”)
  • CVE-2022-31641 – Callout vulnerability in the SMI handler leading to arbitrary code execution. (CVSS v3 score: 7.5 “High”)

HP, etkilenen bazı modellerin için BIOS güncellemesi yayımladı. CVE-2022-23930 zafiyeti Mart 2022’de düzeltildi ( ayrıntılar için danışma belgesine bakın ). CVE-2022-31644, CVE-2022-31645 ve CVE-2022-31646 zafiyetler 9 Ağustos 2022’de güvenlik güncellemeleri aldı. Ancak, birçok iş dizüstü bilgisayarı (Elite, Zbook, ProBook), iş masaüstü bilgisayarları (ProDesk, EliteDesk, ProOne) ve HP iş istasyonları (Z1, Z2, Z4, Zcentral) henüz yama almış değil. CVE-2022-31640 ve CVE-2022-31641 son güncellemeyi 7 Eylül 2022’de yapılacak şekilde Ağustos ayı boyunca güncellemeler yayınladı. Ancak birçok HP iş istasyonu hala güncelleme almış değil.

Kaynak: bleepingcomputer.com

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 11/09/2022
0 1 dakika okuma süresi
Mehmet Sait YILMAZ fotoğrafı

Mehmet Sait YILMAZ

İlgili Makaleler

IDC Türkiye CIO Zirvesi, 29-30 Mayıs 2024’te NG Enjoy Sapanca’da Sektör Liderlerini Bir Araya Getirecek

20/03/2024

Şirketlerde erişim yönetimi siber güvenliğin vazgeçilmezi

20/03/2024

Broadcom’un VMware’daki Değişiklikleri Müşteriler Üzerinde Rahatsızlık Yaratıyor

18/03/2024

Microsoft’un Visual Studio App Center’ı Kapatma Kararı ve TLS Kimlik Doğrulama Sertifikalarının Dondurulması

16/03/2024

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu