Mehrere Schwachstellen in Business-Computern von HP bleiben ungepatcht, obwohl Sicherheitsforscher zum Teil schon vor einem Jahr darauf aufmerksam gemacht hatten, berichtet 'The Register'. Die Sicherheitslücken würden einen CVS-Score von 7.5 bis 8.2 aufweisen und damit als "kritisch" gelten.
Forscher von Binarly hatten die Lücken an der Sicherheitskonferenz Black Hat thematisiert. Mit diesem öffentlichen Vortrag stehe Cyberkriminellen eigentlich auch ein "Know-how-Kit" für mögliche Angriffe zur Verfügung, so die Tech-Website.
Ein HP-Sprecher erklärte, man sei sich der "potenziellen SMM-Schwachstellen bewusst, die von Binarly gemeldet wurden", und verwies auf eine Sicherheitswarnung vom März, die eine der Lücken betraf (
CVE-2022-23930). "Sicherheit hat für HP immer oberste Priorität und wir schätzen die Beiträge von Binarly, die dazu beitragen, HP-Produkte sicherer zu machen", so der Sprecher weiter zu
'The Register'.Offenbar werden aber Patches für 3 der Schwachstellen (CVE-2022-31644, CVE-2022-31645 und CVE-2022-31646) für mehrere Business-Notebooks, Desktops, Verkaufsstellensysteme und Workstations bei HP noch immer als "ausstehend" aufgeführt. Auch die Lücken CVE-2022-31640 und CVE-2022-31641 seien für einige Workstation-Modelle und Thin-Client-PCs noch nicht gepatcht.
Laut Alex Matrosov, CEO und Mitbegründer von Binarly, hat sein Team die Schwachstellen im Juli 2021 und April 2022 gegenüber HP offengelegt, bevor es im August an der Black-Hat-Konferenz darüber gesprochen und dann letzte Woche auch
einen Blogbeitrag dazu veröffentlicht habe.
Auf die Frage von 'The Register', ob Binarly wisse, wann HP plane, die Fehler zu beheben, sagte Matrosov, er habe nichts vom Anbieter gehört. "Es sollte gemäss dem koordinierten Veröffentlichungszeitplan bereits am 10. August gepatcht werden." Er fügte hinzu, es könne aber auch "besonders schwierig" sein, Firmware-Lücken vollständig zu beheben, da sie normalerweise nicht nur einen Anbieter betreffen, sondern jeden, der den Code von Independent BIOS Developers in seiner UEFI-Firmware-Software verwendet.