Lỗi bảo mật nghiêm trọng chưa được vá trong các thiết bị HP Enterprise

Một số lỗ hổng bảo mật của firmware được phát hiện trong các dòng laptop dành cho doanh nghiệp của HP vẫn chưa được vá. Thậm chí là sau vài tháng kể từ khi những lỗ hổng này được tiết lộ rộng rãi.
Những lỗ hổng nằm trên firmware là cực kì nghiêm trọng bởi vì hacker có thể lợi dụng để tiến hành thiết lập việc kết nối bền vững đến máy của nạn nhân. Đồng thời tránh được các biện pháp bảo vệ bằng phần mềm bảo mật thông thường.
Các lỗ hổng nghiêm trọng được xác định liên quan đến các trường hợp gây ra bởi System Manager Mode. Hacker có thể thực thi mã tùy ý với đặc quyền cao nhất.

CVE-2022-23930 (Điểm CVSS: 8,2) - Tràn bộ đệm dựa trên ngăn xếp
CVE-2022-31640 (Điểm CVSS: 7,5) - Xác thực đầu vào không đúng
CVE-2022-31641 (Điểm CVSS: 7,5) - Xác thực đầu vào không đúng
CVE-2022-31644 (Điểm CVSS: 7,5) - Ghi ngoài giới hạn
CVE-2022-31645 (Điểm CVSS: 8,2) - Ghi ngoài giới hạn
CVE-2022-31646 (Điểm CVSS: 8,2) - Ghi ngoài giới hạn

Do dây chuyền sản xuất thiết bị công nghệ ngày nay. Ngày càng có nhiều nhà sản xuất OEM cho một doanh nghiệp sản xuất khác, chính vì thế chỉ với nỗ lực của một nhà cung cấp là không đủ, khiến cho việc sửa các lỗ hổng trở nên khó khăn.

Chi tiết xem thêm tại : Link

Các tin khác